CVE-2024-35179
漏洞描述
Stalwart Mail Server 是一个开源的邮件服务器。在版本 0.8.0 之前,当使用 RUN_AS_USER 时,指定的用户(因此,Web 界面管理员)可以以 root 用户的身份读取任意文件。此问题影响那些已经使用 RUN_AS_USER 配置运行 stalwart 并且将管理员凭据分配给邮件服务器,但期望这些凭据只根据 RUN_AS_USER 授予访问权限的管理员。当攻击者利用其他漏洞实现任意代码执行时,这些管理员可能受到攻击。版本 0.8.0 包含了此问题的修补程序。
安全风险CVSS等级评估
| 基础分数 | 风险等级 | 可利用性评分 |
|---|---|---|
| 6.8 | MEDIUM | CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:N/A:N |
细节文章
CVSS scores for CVE-2024-35179:https://github.com/stalwartlabs/mail-server/security/advisories/GHSA-5pfx-j27j-4c6h
© 版权声明
文章版权归原作者所有,未经允许请勿转载。
THE END
暂无评论内容