CVE-2025-59045

Nome do Software Vulnerável e Versões Afetadas: Versões do Stalwart 0.12.0 até 0.13.2

Descrição: O Stalwart é um servidor de e-mail e colaboração. Existe uma vulnerabilidade de exaustão de memória na implementação CalDAV do Stalwart que permite que atacantes autenticados causem uma negação de serviço ao desencadear consumo de memória ilimitado através da expansão de eventos recorrentes. Um atacante autenticado pode derrubar o servidor Stalwart criando eventos recorrentes com cargas úteis grandes e desencadeando sua expansão através de requisições CalDAV REPORT. Uma única requisição maliciosa expandindo 300 eventos com descrições de 1000 caracteres pode consumir até 2 GB de memória. A vulnerabilidade existe na função ArchivedCalendarEventData.expand, que processa requisições CalDAV REPORT com expansão de eventos. Quando um cliente solicita eventos recorrentes em sua forma expandida usando o elemento <C:expand>, o servidor armazena todas as instâncias de eventos expandidos na memória sem impor limites de tamanho.

Recomendações: Atualize para a versão 0.13.3 ou posterior do Stalwart. Se a atualização imediata não for possível, implemente limites de memória no nível do container/sistema. Monitore o uso de memória do servidor em busca de picos incomuns. Considere limitar a taxa de requisições CalDAV REPORT. Restrinja o acesso CalDAV apenas a usuários confiáveis.