CVE-2026-40875

Name of the Vulnerable Software and Affected Versions mailcow: dockerized versões anteriores a 2026-03b

Description O histórico de login do painel do usuário, especificamente a seção Seen successful connections, não realiza a codificação HTML do IP do cliente renderizado a partir dos logs de login. Como o servidor confia no cabeçalho 'X-Real-IP' como o IP de origem para registro, um invasor pode injetar HTML ou JavaScript neste campo. Isso resulta em Self-XSS, que pode ser explorado por meio de Login CSRF para forçar a vítima a entrar na conta do invasor e, em seguida, permitir a leitura de e-mails em uma aba anterior do navegador.

Recommendations Atualizar para a versão 2026-03b.