PT-2020-6941 · Dovecot+7 · Dovecot+7

Aki Tuomi

·

Publicado

2020-08-17

·

Atualizado

2025-01-30

·

CVE-2020-24386

CVSS v2.0

7.9

Alta

VetorAV:N/AC:M/Au:S/C:C/I:C/A:N
Nome do software vulnerável e versões afetadas
Versões do Dovecot anteriores à 2.3.13
Descrição
O problema está relacionado à neutralização inadequada de caracteres de controle e metacaracteres no servidor de e-mail Dovecot, permitindo que um invasor remoto acesse e comprometa dados confidenciais. Ao usar o IMAP IDLE, um invasor autenticado pode acionar a saída do modo de hibernação por meio de parâmetros controlados por ele, levando ao acesso às mensagens de e-mail de outros usuários e à divulgação de caminhos.
Recomendações
Para versões anteriores à 2.3.13, atualize para a versão 2.3.13 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso à funcionalidade IMAP IDLE até que um patch seja aplicado. Evite usar parâmetros controlados pelo invasor no IMAP IDLE para minimizar o risco de exploração.

Correção

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-150

Identificadores relacionados

ALSA-2021:1887
ALT-PU-2021-1027
ALT-PU-2021-1055
ALT-PU-2021-1205
BDU:2023-07818
CESA-2021_1887
CVE-2020-24386
DLA-2517-1
DSA-4825-1
MGASA-2021-0008
OESA-2021-1042
OPENSUSE-SU-2021:0026-1
OPENSUSE-SU-2021:0072-1
OPENSUSE-SU-2021_0026-1
OPENSUSE-SU-2021_0072-1
OPENSUSE-SU-2024:10726-1
OPENSUSE-SU-2025:14715-1
RHSA-2021:1887
RHSA-2021_1887
SUSE-SU-2021:0018-1
SUSE-SU-2021:0027-1
SUSE-SU-2021:0028-1
SUSE-SU-2021:0029-1
SUSE-SU-2021_0018-1
USN-4674-1

Produtos afetados

Alt Linux
Almalinux
Centos
Dovecot
Linuxmint
Red Hat
Suse
Ubuntu