CVE-2024-35179

Versões do Stalwart Mail Server anteriores à 0.8.0

A vulnerabilidade afeta o Stalwart Mail Server quando se utiliza RUN AS USER, permitindo que o usuário especificado e os administradores da interface web leiam arquivos arbitrários com privilégios de root. Este problema afeta administradores que configuraram o Stalwart Mail Server com RUN AS USER e distribuíram credenciais de administrador, esperando que essas credenciais concedessem acesso de acordo com as configurações de RUN AS USER. Em cenários em que invasores conseguem a execução de código arbitrário usando outra vulnerabilidade, este problema pode ser explorado.

Para versões anteriores à 0.8.0, atualize para a versão 0.8.0 para resolver o problema. Como solução alternativa temporária, considere restringir o acesso a arquivos e diretórios confidenciais para minimizar o risco de exploração. Evite usar o recurso RUN AS USER até que o problema seja resolvido com a atualização para a versão 0.8.0.