W mailcow: dockerized przed wersją 2026-03b istnieje podatność typu stored XSS (Cross-Site Scripting) w panelu administracyjnym. Nieuwierzytelniony atakujący może wstrzyknąć złośliwy kod HTML/JS, który zostanie wykonany w przeglądarce administratora przeglądającego logi Autodiscover.
▸ Pokaż oryginał (EN)
mailcow: dockerized is an open source groupware/email suite based on docker. In versions prior to 2026-03b, the admin dashboard's Autodiscover logs render the EMailAddress value (logged as the "user" field) without HTML escaping. By submitting an unauthenticated Autodiscover request with a crafted EMailAddress containing HTML/JS, the payload is stored in Redis and executed when an admin views the Autodiscover logs. Version 2026-03b fixes the vulnerability.
Panel administracyjny mailcow wyświetla logi żądań Autodiscover, w tym pole EMailAddress (prezentowane jako 'user'), bez stosowania HTML escapingu. Atakujący wysyła nieuwierzytelnione żądanie Autodiscover z odpowiednio spreparowaną wartością EMailAddress zawierającą kod HTML lub JavaScript. Złośliwy payload jest następnie zapisywany w Redis, a gdy administrator otworzy widok logów Autodiscover w panelu, kod zostaje wykonany w jego sesji przeglądarki.
Atakujący może wykonać dowolny kod JavaScript w kontekście sesji administratora, co może prowadzić do przejęcia sesji, kradzieży danych uwierzytelniających lub wykonania nieautoryzowanych działań administracyjnych. Podatność może mieć również wpływ na systemy powiązane z kontem administratora (SC:H, SI:H).
Należy zaktualizować mailcow: dockerized do wersji 2026-03b lub nowszej, która naprawia podatność poprzez wprowadzenie poprawnego HTML escapingu dla pola EMailAddress w logach Autodiscover.
mailcow: dockerized w wersjach wcześniejszych niż 2026-03b
Podatność nie wymaga uwierzytelnienia do jej wywołania (wystarczy wysłanie spreparowanego żądania Autodiscover), jednak do jej faktycznego wykorzystania konieczna jest interakcja administratora przeglądającego logi. Szczegóły opublikowano w GitHub Security Advisory GHSA-f9xf-vc72-rcgm.
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:P/VC:H/VI:H/VA:H/SC:H/SI:H/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X