Criticidad : Alta 8.0
Descripción
Dada Mail es un sistema de gestión de listas de correo electrónico basado en la web. En las versiones afectadas, un mal actor podría darle a alguien una página web cuidadosamente diseñada a través de correo electrónico, SMS, etc., que, cuando se visita, les permite controlar el panel de control de la lista como si el mal actor hubiera iniciado sesión. Esto incluye cambiar cualquier contraseña de la lista de correo, así como la contraseña raíz de Dada Mail, que podría excluir efectivamente a los propietarios reales de la lista de correo y permitirle al mal actor un control completo y sin restricciones de su lista de correo. Esta vulnerabilidad también afecta a los inicios de sesión del perfil. Para que esta vulnerabilidad funcione, el objetivo del mal actor tendría que estar conectado al panel de control de la lista. Esta vulnerabilidad CSRF en Dada Mail afecta a todas las versiones de Dada Mail v11.15.1 y anteriores. Aunque no conocemos hazañas CSRF conocidas que hayan ocurrido en la naturaleza, esta vulnerabilidad ha sido confirmada por nuestras pruebas y por un tercero. Se recomienda a los usuarios que actualicen a la versión 11.16.0.
Referencias
https://github.com/justingit/dada-mail/commit/d4d3d86d08c816b4da75a5ef45abc12188772459
https://github.com/justingit/dada-mail/security/advisories/GHSA-344m-p829-2r38
Detalles
Fuente: MITRE
Publicado: 2021-09-20
Tipo: CWE-352
