CVE-2024-56529

Nome do Software Vulnerável e Versões Afetadas Versões do Mailcow até 2024-11b

Descrição O problema está relacionado a uma vulnerabilidade de fixação de sessão no painel web. Isso permite que atacantes remotos definam um identificador de sessão quando o HSTS está desativado no navegador da vítima. Após um usuário fazer login, ele é autenticado e o identificador de sessão é válido. Em seguida, um atacante remoto pode acessar o painel web da vítima com o mesmo identificador de sessão. A aplicação não desativa IDs de sessão antigos, o que permite que um atacante remoto use IDs existentes no navegador da vítima.

Recomendações Para versões do Mailcow até 2024-11b, considere desativar a funcionalidade de login até que uma correção esteja disponível, ou restrinja o acesso ao painel web para minimizar o risco de exploração. Como solução temporária, os usuários podem ativar o HSTS em seus navegadores para mitigar o risco. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.