CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2025-68723

Critical
Published: Translated: NVD NIST

Summary

Serwer pocztowy Axigen przed wersją 10.5.57 zawiera wiele podatności typu Cross-Site Scripting (XSS) w interfejsie WebAdmin. Występują trzy przypadki: (1) parametr nazwy pliku dziennika na stronie Dziennika Usług Lokalnych, (2) zawartość pliku certyfikatu w funkcji Wyświetlanie użycia certyfikatów SSL oraz (3) parametr nazwy pliku certyfikatu w ustawieniach SSL dla słuchaczy WebMail.

Risk Assessment

Atakujący mogą wstrzykiwać złośliwe ładunki JavaScript, które wykonują się w przeglądarkach administratorów, gdy uzyskują dostęp do dotkniętych stron lub funkcji. Może to prowadzić do eskalacji uprawnień, gdzie administratorzy o niskich uprawnieniach mogą zmusić administratorów o wysokich uprawnieniach do wykonywania nieautoryzowanych działań.

Recommendation

Zaleca się aktualizację serwera pocztowego Axigen do wersji 10.5.57 lub nowszej, aby usunąć te podatności. Dodatkowo, należy przeprowadzić audyt bezpieczeństwa interfejsu WebAdmin w celu zidentyfikowania i naprawienia potencjalnych luk.

Original NVD description (English source)

Axigen Mail Server before 10.5.57 contains multiple stored Cross-Site Scripting (XSS) vulnerabilities in the WebAdmin interface. Three instances exist: (1) the log file name parameter in the Local Services Log page, (2) certificate file content in the SSL Certificates View Usage feature, and (3) the Certificate File name parameter in the WebMail Listeners SSL settings. Attackers can inject malicious JavaScript payloads that execute in administrators' browsers when they access affected pages or features, enabling privilege escalation attacks where low-privileged admins can force high-privileged admins to perform unauthorized actions.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS