Mdaemon
Уязвимости
11
Эксплуатируемые
0
Макс. CVSS
8.8
Макс. EPSS
0.57075
Распределение по критичности
Критический
0
Высокий
3
Средний
8
Низкий
0
Затронутые диапазоны версий
14.0–18.5.2< 20.0.4< 22.0.0≤ 9.6.5
Также сопоставлено как (исходные строки): mdaemon
Топ уязвимостей
CVE-2021-27182В MDaemon до версии 20.0.4 обнаружена проблема. В Webmail (aka WorldClient) существует уязвимость внедрения IFRAME. Она может быть использована через сообщение электронной почты. Это позволяет злоумышленнику выполнять любые действия с привилегиями атакованного пользователя.
CVE-2021-27181В MDaemon до версии 20.0.4 обнаружена проблема. Удаленное администрирование позволяет злоумышленнику выполнить фиксацию токена anti-CSRF. Чтобы использовать эту проблему, пользователь должен щелкнуть вредоносную ссылку, предоставленную злоумышленником, и успешно пройти аутентификацию в приложении. Имея значение токена anti-CSRF, злоумышленник может обманом заставить пользователя посетить свою вредоносную страницу и выполнить любой запрос с привилегиями атакованного пользователя.
CVE-2021-27183В MDaemon до версии 20.0.4 обнаружена проблема. Администраторы могут использовать удаленное администрирование для эксплуатации уязвимости произвольной записи файлов. Злоумышленник может создавать новые файлы в любом месте файловой системы или изменять существующие файлы. Эта уязвимость может непосредственно привести к удаленному выполнению кода.
CVE-2008-1358Переполнение буфера на основе стека в IMAP-сервере в Alt-N Technologies MDaemon 9.6.4 позволяет удаленным аутентифицированным пользователям выполнять произвольный код через команду FETCH с длинным BODY.
CVE-2021-27180В MDaemon до версии 20.0.4 обнаружена проблема. В Webmail (aka WorldClient) существует отраженная XSS. Она может быть использована через GET-запрос. Это позволяет выполнять любые действия с привилегиями атакованного пользователя.
CVE-2019-8984MDaemon Webmail 14.x по 18.x до 18.5.2 имеет XSS (проблема 2 из 2).
CVE-2019-8983MDaemon Webmail 14.x по 18.x до 18.5.2 имеет XSS (проблема 1 из 2).
CVE-2022-29976В MDaemon до версии 22.0.0 обнаружен аутентифицированный отраженный межсайтовый скриптинг в параметре BCC.
CVE-2022-29975В MDaemon до версии 22.0.0 обнаружен аутентифицированный отраженный межсайтовый скриптинг в параметре CC.
CVE-2008-2631Интерфейс WordClient в Alt-N Technologies MDaemon 9.6.5 позволяет удаленным злоумышленникам вызывать отказ в обслуживании (NULL pointer dereference и сбой приложения) через специально созданный HTTP POST-запрос. ПРИМЕЧАНИЕ: Происхождение этой информации неизвестно; подробности получены исключительно из сторонней информации.
CVE-2012-2584Множественные уязвимости межсайтового скриптинга (XSS) в Alt-N MDaemon Free 12.5.4 позволяют удаленным злоумышленникам внедрять произвольный веб-скрипт или HTML через тело сообщения электронной почты с (1) свойством выражения Cascading Style Sheets (CSS) в сочетании с комментарием CSS внутри атрибута STYLE элемента IMG, (2) свойством выражения CSS в сочетании с несколькими комментариями CSS внутри атрибута STYLE произвольного элемента или (3) атрибутом innerHTML внутри XML-документа.