PT-2021-23076 · Dada Mail · Dada Mail
Justingit
·
Publicado
2021-09-20
·
Atualizado
2021-10-01
·
CVE-2021-41083
CVSS v3.1
8.8
Alta
| Vetor | AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Versões 11.15.1 e anteriores do Dada Mail
Descrição
Uma vulnerabilidade CSRF no Dada Mail permite que um invasor controle o painel de controle da lista como se estivesse conectado com suas próprias credenciais. Isso pode ser feito enviando ao alvo uma página da web cuidadosamente criada por e-mail, SMS, etc. A vulnerabilidade afeta os logins de perfil e permite que o invasor altere senhas de listas de e-mail e a senha raiz do Dada Mail, potencialmente bloqueando o acesso dos verdadeiros proprietários das listas. Para que essa vulnerabilidade funcione, o alvo deve estar conectado ao painel de controle da lista. Embora não haja relatos de explorações reais, a vulnerabilidade foi confirmada por testes e por uma entidade terceirizada.
Recomendações
Atualize para a versão 11.16.0 para resolver o problema. Como solução temporária, considere restringir o acesso ao painel de controle da lista para minimizar o risco de exploração.
Correção
CSRF
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Dada Mail