CVE-2020-37248
ŚrednieCVSS 6.5Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 5 - wyżej niż 5% wszystkich znanych CVE
Streszczenie
OfflineIMAP w wersjach przed 8.0.3 ufa serwerowi w zakresie jego możliwości STARTTLS przed uwierzytelnieniem, co umożliwia ataki STRIPTLS oraz man-in-the-middle, przejmując połączenie i wyciągając dane logowania w postaci niezaszyfrowanej.
Ocena ryzyka
Organizacja jest narażona na przechwycenie danych logowania przez atakujących, co może prowadzić do nieautoryzowanego dostępu do kont użytkowników.
Rekomendacja
Zaleca się aktualizację OfflineIMAP do wersji 8.0.3 lub nowszej, aby zlikwidować tę podatność.
Oryginalny opis (angielski, źródło NVD)
OfflineIMAP before 8.0.3 trusts the server with their STARTTLS capability prior to authentication, which allows STRIPTLS/man-in-the-middle attacks, taking over the connection and extracting account credentials in cleartext.

