CVE-2024-11182

Nome do Software Vulnerável e Versões Afetadas MDaemon Email Server versões anteriores a 24.5.1c

Descrição Um problema de Cross-Site Scripting (XSS) existe onde um invasor remoto pode enviar um e-mail HTML contendo JavaScript dentro de uma tag img. Isso permite que o invasor carregue código JavaScript arbitrário no contexto da janela do navegador de um usuário de webmail. Esta falha foi explorada ativamente pelo grupo APT28, ligado à Rússia, na Operação RoundPress, visando organizações governamentais e de defesa na Europa Oriental, África e América do Sul para roubar credenciais e e-mails.

Recomendações Atualize para a versão 24.5.1c ou posterior.