CVE-2026-23620

Nome do Software Vulnerável e Versões Afetadas GFI MailEssentials AI versões anteriores à versão 22.4

Descrição As versões do GFI MailEssentials AI anteriores à versão 22.4 apresentam uma falha que permite que usuários autenticados verifiquem a existência de arquivos arbitrários no servidor. Isso é possível por meio do método web ListServer.IsDBExist(), acessível no endpoint da API ''/MailEssentials/pages/MailSecurity/ListServer.aspx/IsDBExist''. A vulnerabilidade ocorre porque um atacante pode fornecer um caminho do sistema de arquivos irrestrito por meio da chave JSON path. Esse caminho é então decodificado via URL e utilizado em uma chamada da função File.Exists(), permitindo a enumeração da existência de arquivos.

Recomendações Atualize o GFI MailEssentials AI para a versão 22.4 ou posterior.