Почтовый сервер Mailcow содержит уязвимости, позволяющие выполнить код

Почтовый сервер Mailcow содержит уязвимости, позволяющие выполнить код

Почтовый сервер Mailcow содержит уязвимости, позволяющие выполнить код

В Mailcow, почтовом сервере с открытым исходным кодом, обнаружились две уязвимости, которые злоумышленники могут использовать для выполнения произвольного кода на проблемных установках.

Обе бреши затрагивают все версии софта до 2024-04 (вышла 4 апреля 2024 года). На них обратили внимание исследователи из компании SonarSource.

Как уже отмечалось выше, всего специалисты выявили две уязвимости:

  1. CVE-2024-30270 (6,7 балла по шкале CVSS) — возможность изменения локального пути (path traversal), затрагивающая функцию под именем «rspamd_maps()». В случае эксплуатации допускает выполнение команд на сервере.
  2. CVE-2024-31204 (6,8 балла по CVSS) — проблема межсайтового скриптинга (XSS), существующая из-за механизма обработки исключений (если не работать в режиме DEV_MODE).

Корень последнего бага кроется в сохранении деталей исключений без какой-либо санитизации или шифрования. Затем эти данные преобразуются в HTML и выполняются в качестве JavaScript в браузере пользователя.

В результате условный атакующий может внедрить вредоносные скрипты в панель администратора с помощью специально созданных вводных данных, которые вызывают исключения. Такой подход позволяет перехватить сессию и осуществить несанкционированные действия в контексте администратора.

Другими словами, связав эти две бреши, злоумышленник может получить контроль над аккаунтами Mailcow и добраться до конфиденциальных данных их владельцев, не говоря уже о выполнении команд.

 

Для атаки киберпреступнику потребуется создать HTML-письмо с фоновым изображением, прописанным в CSS-стилях. Эта графика должна подгружаться со стороннего URL и использоваться для выполнения XSS-пейлоада.

Сеть стала фундаментом бизнеса: главные темы «Сетевого лета 2026»

В Москве прошёл второй технический опен-эйр «Сетевое лето 2026». Мероприятие состоялось 2 июля в «Березы Парке» и собрало более 800 участников: сетевых инженеров, архитекторов, руководителей технических направлений и ИТ-директоров.

Главной темой стало то, как сегодня развиваются корпоративные и операторские сети в России. Участники обсуждали импортозамещение, Telco Cloud, SD-WAN, 5G, сетевую безопасность, тестирование оборудования и применение ИИ в работе инженеров.

На дискуссии об управлении ИТ в условиях изменений представители «Инфосистемы Джет», Yandex Infrastructure, Финтех-Платформы и АО «НСИС» отметили, что проблема импортозамещения не сводится к наличию отечественного оборудования. На практике компаниям приходится выбирать между большим числом решений, планировать миграцию и думать о дальнейшей поддержке инфраструктуры.

 

Отдельно говорили об ИИ. Участники сошлись в том, что бизнес готов вкладываться в такие проекты, если видит понятный и измеримый результат в обозримые сроки.

В блоке о Telco Cloud архитекторы МТС, Билайна и «Инфосистемы Джет» обсудили развитие операторских облаков и сетевых технологий. Тема 5G вызвала отдельную дискуссию: техническая готовность есть, но массовое внедрение зависит от регулирования и выделения частот. Для бизнеса особенно важен standalone 5G со слайсингом, который позволяет выделять отдельные сегменты сети под разные задачи.

 

В инженерном треке разобрали RoCEv2, кластеризацию NGFW, PoE, мультивендорные NMS, адаптацию сети под приложения и особенности отечественных коммутаторов. На мастер-классах участники настраивали маршрутизаторы EcoRouter, тестировали RA VPN в PT NGFW, работали с RoCEv2 и разворачивали IP-фабрику Eltex.

 

Отдельный практический блок был посвящён ИИ-ассистенту для сетевых инженеров: на стенде проверяли, как он анализирует конфигурационные файлы, строит схему сети и ищет уязвимости.

Также на площадке работала демо-зона с российским сетевым оборудованием и лаборатория с практическими заданиями по настройке инфраструктуры разных вендоров.

RSS: Новости на портале Anti-Malware.ru