Средний6.1
AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N

CVE-2024-11182

Вектор уязвимости: 

  • Базовый вектор уязвимости (CVSSv3.1): CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N
  • Уровень опасности уязвимости (CVSSv3.1): 6.1+

Описание уязвимости:

Уязвимость существует в почтовом сервере MDaemon. Данная уязвимость, связанная с обработкой HTML-кода в электронных письмах, позволяет злоумышленнику, действующему удаленно и не прошедшему аутентификацию, выполнить произвольный JavaScript-код в браузере жертвы. Для эксплуатации атакующему необходимо отправить специально сформированное письмо на почтовый сервер MDaemon и убедить пользователя открыть его в веб-интерфейсе MDaemon.

Успешная эксплуатация позволяет загрузить произвольный JavaScript-код в контекст пользовательского окна браузера.

Когда стала трендовой: 26.05.2025

Рекомендации по устранению: 
Для устранения уязвимостей необходимо следовать рекомендациям вендора и установить последние обновления.

Дополнительная информация:

https://www.welivesecurity.com/en/eset-research/operation-roundpress/

 

Данные актуальны на момент публикации.

Идентификаторы:

CVE-2024-11182

Вендор:

MDaemon

Уязвимый продукт:

MDaemon Email Server