Pony Mail
Уязвимости
4
Эксплуатируемые
0
Макс. CVSS
9.8
Макс. EPSS
0.06097
Распределение по критичности
Критический
2
Высокий
0
Средний
2
Низкий
0
Затронутые диапазоны версий
0.7–0.90.8–0.10
Также сопоставлено как (исходные строки): pony_mail
Топ уязвимостей
CVE-2026-41873** НЕПОДДОПОКЛОНЕННО КОГДЕ НАЗНАЧЕНО ** Непоследовательная интерпретация HTTP-запросов («HTTP Запрос / Контрабанда ответов») в Pony Mail, что приводит к захвату учетной записи администратора.
Этот вопрос затрагивает все версии внедрения Lua Pony Mail. Существует реализация Python в разработке под названием «Pony Mail Foal», которая не затронута этой проблемой, но еще не выпущена.
Поскольку реализация Lua этого проекта свершилась, мы не планируем выпускать версию, которая исправляет эту проблему. Пользователям рекомендуется найти альтернативу или ограничить доступ к экземпляру доверенные пользователи.
ПРИМЕЧАНИЕ: Эта уязвимость затрагивает только продукты, которые больше не поддерживаются содержателем.
CVE-2016-4460Apache Pony Mail версий 0.6c - 0.8b позволяет удаленным злоумышленникам обходить аутентификацию.
CVE-2019-0218Была обнаружена уязвимость, при которой специально созданный URL-адрес мог включить отраженный XSS через JavaScript в интерфейсе pony mail.
CVE-2017-5658Было обнаружено, что генератор статистики в Apache Pony Mail 0.7–0.9 возвращает данные меток времени без надлежащих проверок авторизации. Это может привести к раскрытию производной информации в частных списках о времени определенных тем электронных писем или текстов, хотя и без раскрытия самого содержимого. Поскольку это в основном использовалось в качестве функции кэширования для ускорения времени загрузки, кэширование по умолчанию было отключено, чтобы предотвратить это. Пользователям, использующим версию 0.9, следует обновиться до версии 0.10, чтобы решить эту проблему.