PT-2026-39194 · Mailenable · Mailenable Enterprise Premium
Dninh
·
Publicado
2026-05-08
·
Atualizado
2026-06-01
·
CVE-2026-44400
CVSS v3.1
9.8
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
Nome do Software Vulnerável e Versões Afetadas
MailEnable Enterprise Premium versões anteriores a 10.56
Descrição
Uma autorização inadequada no portal móvel WebAdmin permite que invasores ignorem as verificações de autenticação reutilizando cookies
AuthenticationToken gerados para usuários de baixo privilégio. Um invasor pode obter um token no endpoint 'WebMail login' usando o parâmetro PersistentLogin e reproduzi-lo no portal WebAdmin para realizar ações administrativas de alto privilégio.Recomendações
Atualize para uma versão posterior à 10.55.
Correção
IDOR
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Mailenable Enterprise Premium