PT-2020-3649 · Gnu+6 · Gnu Mailman+6

Hanno Böck

·

Publicado

2020-04-24

·

Atualizado

2022-11-16

·

CVE-2020-12137

CVSS v3.1

6.1

Média

VetorAV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N
Nome do software vulnerável e versões afetadas
GNU Mailman, versões 2.x a 2.1.29
A versão 2.1.30 do GNU Mailman não é afetada, mas todas as versões anteriores à 2.1.30 estão vulneráveis.
Descrição
O problema está relacionado ao tratamento de partes MIME no GNU Mailman, o que pode contribuir para ataques de cross-site scripting (XSS) contra visitantes de arquivos de listas. Isso ocorre porque uma resposta HTTP de um servidor web de arquivos pode não conter um tipo MIME, levando um navegador web a realizar MIME sniffing e, potencialmente, executar código JavaScript. A vulnerabilidade também está relacionada à falta de proteção da estrutura da página web, o que poderia permitir que um invasor remoto comprometesse a integridade dos dados.
Recomendações
Para as versões 2.x a 2.1.29 do GNU Mailman, atualize para a versão 2.1.30 ou posterior para resolver o problema.
Como solução temporária, considere restringir o acesso aos arquivos de listas para minimizar o risco de exploração.

Correção

XSS

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-79

Identificadores relacionados

ALT-PU-2020-2129
ALT-PU-2021-2036
ALT-PU-2021-2340
BDU:2020-03997
CESA-2020_4667
CVE-2020-12137
DLA-2200-1
DSA-4664-1
MGASA-2020-0276
OESA-2021-1405
OPENSUSE-SU-2020:1707-1
OPENSUSE-SU-2020:1752-1
OPENSUSE-SU-2020_1707-1
RHSA-2020:4667
RHSA-2020_4667
SUSE-SU-2020:1301-1
SUSE-SU-2020:14356-1
SUSE-SU-2020_14356-1
USN-4348-1
USN-5121-2

Produtos afetados

Alt Linux
Centos
Gnu Mailman
Linuxmint
Red Hat
Suse
Ubuntu