Shushangw

Nome do software vulnerável e versões afetadas: Versões do Nextcloud Mail anteriores à 1.14.6 Versões do Nextcloud Mail anteriores à 1.15.4 Versões do Nextcloud Mail anteriores à 2.2.11 Versões do Nextcloud Mail anteriores à 3.6.3 Versões do Nextcloud Mail anteriores à 3.7.7 Versões do Nextcloud Mail anteriores à 4.0.0 Descrição: O problema está relacionado a uma configuração automática incorreta no cliente de e-mail Nextcloud. Um invasor, agindo remotamente, poderia explorar essa falha para divulgar informações protegidas. Isso pode ocorrer quando um usuário tenta configurar uma conta de e-mail com um endereço que não suporta configuração automática e um invasor registrou um domínio capaz de interceptar os detalhes do e-mail. Recomendações: Para versões anteriores à 1.14.6, atualize para a versão 1.14.6 ou posterior. Para versões anteriores à 1.15.4, atualize para a versão 1.15.4 ou posterior. Para versões anteriores à 2.2.11, atualize para a versão 2.2.11 ou posterior. Para versões anteriores à 3.6.3, atualize para a 3.6.3 ou posterior. Para versões anteriores à 3.7.7, atualize para a 3.7.7 ou posterior. Para versões anteriores à 4.0.0, atualize para a 4.0.0 ou posterior.

Nome do software vulnerável e versões afetadas: Versões do KDE Kmail anteriores à 6.2.0 Descrição: A vulnerabilidade permite que invasores do tipo “man-in-the-middle” forcem o uso de um servidor de e-mail controlado por eles. Isso ocorre porque o protocolo HTTP em texto simples é utilizado para recuperar configurações de URLs como ‘http://autoconfig.example.com’ ou 'http://example.com/. well-known/autoconfig'. O problema está relacionado ao componente kmail-account-wizard. Recomendações: Para versões anteriores à 6.2.0, atualize para a versão 6.2.0 ou posterior para resolver o problema. Como solução temporária, considere restringir o uso de HTTP em texto simples para URLs de autoconfiguração até que um patch seja aplicado.