CVE-2025-53909

Nome do Software Vulnerável e Versões Afetadas mailcow: versões dockerizadas anteriores a 2025-07

Descrição Uma vulnerabilidade de Injeção de Modelo do Lado do Servidor (SSTI) existe no sistema de modelos de notificação utilizado para o envio de alertas de cota e quarentena. O mecanismo de renderização de modelos permite expressões de modelo que podem ser utilizadas indevidamente para executar código em determinados contextos. A exploração requer acesso de nível de administrador à interface do mailcow para configurar modelos, que são renderizados automaticamente durante a operação normal do sistema.

Recomendações Atualize para a versão 2025-07 ou posterior.