Vulnerabilidad en mailcow: dockerized (CVE-2024-41958)

Gravedad CVSS v3.1:

ALTA

Tipo:

No Disponible / Otro tipo

Fecha de publicación:

05/08/2024

Última modificación:

20/09/2024

Descripción

mailcow: dockerized es un software colaborativo/paquete de correo electrónico de código abierto basado en Docker. Se ha descubierto una vulnerabilidad en el mecanismo de autenticación de dos factores (2FA). Esta falla permite que un atacante autenticado evite la protección 2FA, permitiendo el acceso no autorizado a otras cuentas que de otro modo estarían protegidas con 2FA. Para aprovechar esta vulnerabilidad, el atacante primero debe tener acceso a una cuenta dentro del sistema y poseer las credenciales de la cuenta objetivo que tiene 2FA habilitada. Al aprovechar estas credenciales, el atacante puede eludir el proceso 2FA y obtener acceso a la cuenta protegida. Este problema se solucionó en la versión "2024-07". Se recomienda a todos los usuarios que actualicen. No se conocen workarounds para esta vulnerabilidad.

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H CVSS v3.1 Severidad y Métricas:

Puntuación base: 7.20 ALTA
Vector: CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Alto
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Alto
Impacto a la disponibilidad (A): Alto