CVE-2024-11182

Суть уязвимости

CVE-2024-11182 представляет собой уязвимость типа Stored Cross-Site Scripting (XSS) в почтовом сервере MDaemon. Проблема возникает из-за недостаточной фильтрации и санитизации входящих HTML-сообщений.

Злоумышленник может отправить специально сформированное электронное письмо, содержащее вредоносный JavaScript-код. Когда легитимный пользователь (администратор или обычный юзер) открывает это письмо через веб-интерфейс (WorldClient), скрипт выполняется в контексте его сессии. Это позволяет атакующему: * Похитить сессионные куки (Session Hijacking). * Выполнять действия от имени пользователя. * Получить доступ к конфиденциальной переписке и настройкам аккаунта.

Как исправить

Основным и единственным надежным способом устранения уязвимости является обновление MDaemon Email Server до версии 24.0.2 или выше, в которой механизмы парсинга HTML были исправлены.

1. Скачайте актуальный дистрибутив с официального сайта MDaemon Technologies.
2. Создайте резервную копию директории C:\MDaemon.
3. Запустите инсталлятор и следуйте инструкциям для обновления текущей версии.

Для проверки текущей версии через PowerShell:

(Get-Item "C:\MDaemon\App\MDaemon.exe").VersionInfo.FileVersion

Временные меры

Если немедленное обновление невозможно, необходимо минимизировать риски с помощью следующих настроек:

1. Переключите пользователей на использование текстового режима отображения писем вместо HTML. В интерфейсе WorldClient: Settings -> Compose -> Message Options -> View messages as plain text.

2. Настройте Content Filter для блокировки подозрительных тегов <script> во входящих сообщениях:

C:\MDaemon\App\CFEditor.exe

1. Ограничьте доступ к веб-интерфейсу WorldClient, разрешив вход только из доверенных сетей или через VPN, чтобы снизить вероятность атаки со стороны внешних анонимных отправителей.

2. Включите принудительное использование флагов HttpOnly и Secure для куки-файлов в настройках веб-сервера MDaemon (WorldClient.ini), чтобы затруднить кражу сессии через XSS.