Mailcow-dockerized de Mailcow Fallos de seguridad encontrados

Vulnerabilidades CVE de Mailcow-dockerized de Mailcow

mailcow es un paquete de correo electrónico dockerizado, con múltiples contenedores vinculados en una red puenteada

CVE-2023-26490 : La función Sync Job, que puede estar disponible para usuarios estándar asignándoles el permiso necesario, sufre de una inyección de comando de shell. Un usuario malintencionado puede abusar de esta vulnerabilidad para obtener acceso de shell al contenedor Docker que ejecuta dovecot. El script Perl imapsync implementa toda la funcionalidad necesaria para esta función, incluido el mecanismo de autenticación XOAUTH2. Esta ruta de código crea un comando de shell para llamar a openssl. Sin embargo, dado que se incluyen diferentes partes de la contraseña de usuario especificada sin ninguna validación, simplemente se pueden ejecutar comandos de shell adicionales. En particular, la ACL predeterminada para una cuenta de mailcow recién creada no incluye el permiso necesario. El problema se solucionó en la actualización 2023-03 (3 de marzo de 2023). Como solución temporal, la ACL de Syncjob se puede eliminar de todos los usuarios de buzones, evitando que se creen o cambien Syncjobs existentes.

CVE-2023-26490: https://github.com/mailcow/mailcow-dockerized/security/advisories/GHSA-3j2f-wf52-cjg7

Sin usted, esta web no existiria. Gracias por visitarme, espero que le haya gustado y vuelva. Muchas gracias ☺️

Fecha actualización el 2023-03-08. Fecha publicación el 2023-03-08. Autor: Oscar olg Mapa del sitio Fuente: cve report