CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2024-45438

Critical
Published: Translated: NVD NIST

Summary

W systemie TitanHQ SpamTitan Email Security Gateway w wersjach 8.00.x przed 8.00.101 oraz 8.01.x przed 8.01.14 odkryto problem. Plik quarantine.php w interfejsie SpamTitan pozwala nieautoryzowanym użytkownikom na wywoływanie działań na poziomie konta za pomocą spreparowanego żądania GET, co prowadzi do automatycznego tworzenia rekordu użytkownika bez wymogu uwierzytelnienia.

Risk Assessment

Organizacja narażona jest na ryzyko nieautoryzowanego dostępu do systemu oraz potencjalnego nadużycia funkcji zarządzania użytkownikami, co może prowadzić do nieautoryzowanego dostępu do danych.

Recommendation

Zaleca się aktualizację systemu SpamTitan do najnowszej wersji, aby usunąć tę podatność oraz wdrożenie dodatkowych środków zabezpieczających, takich jak ograniczenie dostępu do pliku quarantine.php.

Original NVD description (English source)

An issue was discovered in TitanHQ SpamTitan Email Security Gateway 8.00.x before 8.00.101 and 8.01.x before 8.01.14. The file quarantine.php within the SpamTitan interface allows unauthenticated users to trigger account-level actions using a crafted GET request. Notably, when a non-existent email address is provided as part of the email parameter, SpamTitan will automatically create a user record and associate quarantine settings with it - all without requiring authentication.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS