Katalog CVE

CVE-2024-45438

Krytyczne
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

W systemie TitanHQ SpamTitan Email Security Gateway w wersjach 8.00.x przed 8.00.101 oraz 8.01.x przed 8.01.14 odkryto problem. Plik quarantine.php w interfejsie SpamTitan pozwala nieautoryzowanym użytkownikom na wywoływanie działań na poziomie konta za pomocą spreparowanego żądania GET, co prowadzi do automatycznego tworzenia rekordu użytkownika bez wymogu uwierzytelnienia.

Ocena ryzyka

Organizacja narażona jest na ryzyko nieautoryzowanego dostępu do systemu oraz potencjalnego nadużycia funkcji zarządzania użytkownikami, co może prowadzić do nieautoryzowanego dostępu do danych.

Rekomendacja

Zaleca się aktualizację systemu SpamTitan do najnowszej wersji, aby usunąć tę podatność oraz wdrożenie dodatkowych środków zabezpieczających, takich jak ograniczenie dostępu do pliku quarantine.php.

Oryginalny opis (angielski, źródło NVD)

An issue was discovered in TitanHQ SpamTitan Email Security Gateway 8.00.x before 8.00.101 and 8.01.x before 8.01.14. The file quarantine.php within the SpamTitan interface allows unauthenticated users to trigger account-level actions using a crafted GET request. Notably, when a non-existent email address is provided as part of the email parameter, SpamTitan will automatically create a user record and associate quarantine settings with it - all without requiring authentication.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS