Derlinkman

**Nome do software vulnerável e versões afetadas** Versões do mailcow anteriores à 2024-01c **Descrição** Foi identificada uma falha de segurança no mailcow, um pacote de e-mail em Docker. Essa falha permite, potencialmente, que invasores na mesma sub-rede se conectem a portas expostas de um contêiner Docker, mesmo quando a porta está vinculada a 127.0.0.1. A vulnerabilidade foi corrigida com a implementação de regras adicionais de iptables/nftables, que rejeitam pacotes para contêineres Docker nas portas 3306, 6379, 8983 e 12345, nos casos em que a interface de entrada não é `br-mailcow` e a interface de saída é `br-mailcow`. **Recomendações** Para versões anteriores à 2024-01c, atualize para a versão 2024-01c ou posterior para resolver o problema. Como solução temporária, considere implementar regras adicionais de iptables/nftables para descartar pacotes de contêineres Docker nas portas vulneráveis, onde a interface de entrada não é `br-mailcow` e a interface de saída é `br-mailcow`. Restrinja o acesso às portas expostas para minimizar o risco de exploração.

**Name of the Vulnerable Software and Affected Versions** Mailcow: dockerized versions prior to 2023-11 **Description** A Cross-Site Scripting (XSS) issue has been identified within the Quarantine UI of the system, posing a significant threat to administrators who utilize the Quarantine feature. An attacker can send a carefully crafted email containing malicious JavaScript code. **Recommendations** For versions prior to 2023-11, update to version 2023-11 to resolve the issue. As a temporary workaround, consider restricting access to the Quarantine UI to minimize the risk of exploitation. Avoid using the Quarantine feature until the issue is resolved.

**Name of the Vulnerable Software and Affected Versions** mailcow versions prior to the 2023-03 Update **Description** The Sync Job feature in mailcow, a dockerized email package, suffers from a shell command injection. This allows a malicious user to obtain shell access to the Docker container running dovecot by abusing the vulnerability. The imapsync Perl script, which implements the necessary functionality for this feature, including the XOAUTH2 authentication mechanism, creates a shell command to call openssl. However, since different parts of the specified user password are included without any validation, one can simply execute additional shell commands. The default ACL for a newly-created mailcow account does not include the necessary permission. **Recommendations** As a temporary workaround, consider removing the Syncjob ACL from all mailbox users to prevent creating or changing existing Syncjobs. Update to the 2023-03 Update or later to fix the issue.

**Nome do software vulnerável e versões afetadas** Versões do mailcow-dockerized anteriores à 2022-06a **Descrição** O problema diz respeito a uma vulnerabilidade de privilégios ampliados no mailcow, um pacote de servidor de e-mail. Essa vulnerabilidade pode ser explorada através da manipulação de parâmetros personalizados, como `regexmess`, `skipmess`, `regexflag`, `delete2foldersonly`, `delete2foldersbutnot`, `regextrans2`, `pipemess` ou `maxlinelengthcmd`, para executar código arbitrário. **Recomendações** Para versões anteriores à 2022-06a, atualize a instância do mailcow com o script `update.sh` no diretório raiz do mailcow para a versão 2022-06a ou mais recente para receber um patch para este problema. Como solução alternativa temporária, considere remover a ACL do Syncjob de todos os usuários de caixas de correio para impedir alterações nessas configurações.