Dario Weiss

**Nome do Software Vulnerável e Versões Afetadas** SEPPmail Secure Email Gateway versões anteriores a 15.0.4 **Descrição** A nova interface GINA UI não aplica verificações de autorização para múltiplos endpoints. Isso permite que atacantes remotos não autenticados acessem funcionalidades que deveriam exigir uma sessão válida. **Recomendações** Atualize para a versão 15.0.4 ou posterior.

**Nome do Software Vulnerável e Versões Afetadas** SEPPmail Secure Email Gateway versões anteriores a 15.0.4 **Descrição** Um problema de path traversal não autenticado existe no endpoint '/api.app/attachment/preview'. Isso permite que atacantes remotos leiam arquivos locais arbitrários e acionem a exclusão de arquivos no diretório alvo usando os privilégios do processo `api.app` através do parâmetro `identifier`. **Recomendações** Atualize para a versão 15.0.4 ou posterior. Como medida paliativa temporária, restrinja o acesso ao endpoint '/api.app/attachment/preview' ou evite usar o parâmetro `identifier` até que a atualização seja aplicada.

**Nome do Software Vulnerável e Versões Afetadas** SEPPmail Secure Email Gateway versões anteriores a 15.0.2.1 **Descrição** A nova interface GINA UI permite a execução remota de código não autenticada. Isso ocorre porque um endpoint passa a entrada controlada por um invasor de um parâmetro para a função `eval()` do Perl, que executa código arbitrário. **Recomendações** Atualizar para a versão 15.0.2.1.

**Nome do Software Vulnerável e Versões Afetadas** SEPPmail Secure Email Gateway versões anteriores a 15.0.4 **Descrição** A nova interface GINA UI contém uma injeção de template no lado do servidor (SSTI)—uma falha onde uma aplicação insere a entrada do usuário em um template do servidor sem a validação adequada—porque um endpoint aceita templates controlados por atacantes. Isso permite que atacantes remotos executem expressões de template arbitrárias, o que pode levar à execução remota de código, dependendo dos plugins de template habilitados. **Recomendações** Atualize para a versão 15.0.4 ou posterior.

**Nome do Software Vulnerável e Versões Afetadas** SEPPmail Secure Email Gateway versões anteriores a 15.0.4 **Descrição** Um endpoint não autenticado na nova interface GINA UI expõe variáveis de ambiente do servidor, permitindo que atacantes remotos obtenham informações sensíveis do sistema. **Recomendações** Atualize para a versão 15.0.4 ou posterior.

**Nome do Software Vulnerável e Versões Afetadas** SEPPmail Secure Email Gateway versões anteriores a 15.0.4 **Descrição** Ocorre a desserialização insegura de dados não confiáveis na nova interface GINA UI. Esta falha permite que atacantes remotos não autenticados executem código arbitrário através do envio de um objeto serializado especialmente criado. **Recomendações** Atualize para a versão 15.0.4 ou posterior.