CVE-2024-31204

Versões do mailcow anteriores a 2024-04

Foi identificada uma falha de segurança no mecanismo de tratamento de exceções do mailcow, especificamente quando não está operando no modo DEV MODE. O sistema salva detalhes de exceções em uma matriz de sessão sem sanitização ou codificação adequadas, que posteriormente são renderizados em HTML e executados em um bloco de JavaScript no navegador do usuário sem o escape adequado de entidades HTML. Isso permite ataques de Cross-Site Scripting (XSS), nos quais invasores podem injetar scripts maliciosos no painel de administração ao acionar exceções com entradas controladas, levando potencialmente ao sequestro de sessão e a ações administrativas não autorizadas.

Para versões anteriores à 2024-04, atualize para a versão 2024-04 para resolver o problema. Como solução temporária, considere restringir o acesso a funções que possam lançar exceções com argumentos controláveis pelo usuário até que a atualização seja aplicada.