Mailcow · Mailcow · CVE-2025-53909
**Nome do Software Vulnerável e Versões Afetadas**
mailcow: versões dockerizadas anteriores a 2025-07
**Descrição**
Uma vulnerabilidade de Injeção de Modelo do Lado do Servidor (SSTI) existe no sistema de modelos de notificação utilizado para o envio de alertas de cota e quarentena. O mecanismo de renderização de modelos permite expressões de modelo que podem ser utilizadas indevidamente para executar código em determinados contextos. A exploração requer acesso de nível de administrador à interface do mailcow para configurar modelos, que são renderizados automaticamente durante a operação normal do sistema.
**Recomendações**
Atualize para a versão 2025-07 ou posterior.