CVE-2020-12670

Versões 1.941 e anteriores do Webmin

Existe uma falha de segurança na função Salvar do Módulo de Leitura de E-mails do Usuário, especificamente no “ponto final das caixas de correio”, onde ela não consegue sanitizar elementos SCRIPT ao salvar e-mails em HTML. Isso contrasta com a função Visualizar, que sanitiza corretamente as entradas. Como resultado, um usuário mal-intencionado pode injetar e executar cargas de JavaScript enviando-as no corpo da mensagem de um e-mail, que serão executadas se o usuário tentar salvar o e-mail.

Para as versões 1.941 e anteriores do Webmin, como solução temporária, considere desativar a função Salvar do Módulo de Leitura de E-mails do Usuário até que um patch esteja disponível. Restrinja o acesso ao Endpoint de caixas de correio para minimizar o risco de exploração. Evite usar a função Salvar para e-mails em HTML até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.