Kmail
Уязвимости
5
Эксплуатируемые
0
Макс. CVSS
6.5
Макс. EPSS
0.04219
Распределение по критичности
Критический
0
Высокий
0
Средний
5
Низкий
0
Также сопоставлено как (исходные строки): kmail
Топ уязвимостей
CVE-2021-38373В KDE KMail 19.12.3 (aka 5.13.3) опция SMTP STARTTLS не учитывается (и сообщения в открытом виде отправляются), если не отмечено "Сервер требует аутентификацию".
CVE-2020-11880Проблема была обнаружена в KDE KMail до версии 19.12.3. Используя проприетарный (не RFC6068) параметр "mailto?attach=...", веб-сайт (или другой источник ссылок mailto) может заставить KMail прикрепить локальные файлы к составленному сообщению электронной почты, не показывая пользователю предупреждение, как показано на примере attach=.bash_history value.
CVE-2024-50624ispdbservice.cpp в KDE Kmail до версии 6.2.0 позволяет злоумышленникам, находящимся посередине, инициировать использование контролируемого злоумышленником почтового сервера, поскольку для URL-адреса, такого как http://autoconfig.example.com или http://example.com/.well-known/autoconfig, для получения конфигурации используется открытый текст HTTP. Это связано с kmail-account-wizard.
CVE-2017-17689Спецификация S/MIME допускает атаку с использованием гаджета изменения Cipher Block Chaining (CBC), которая может косвенно привести к эксфильтрации открытого текста, также известная как EFAIL.
CVE-2019-10732В KDE KMail 5.2.3 злоумышленник, владеющий S/MIME или PGP-зашифрованными электронными письмами, может обернуть их в виде подчастей в специально созданное многокомпонентное электронное письмо. Зашифрованные части могут быть дополнительно скрыты с использованием HTML/CSS или символов новой строки ASCII. Это измененное многокомпонентное электронное письмо может быть повторно отправлено злоумышленником предполагаемому получателю. Если получатель ответит на это (выглядящее безобидно) электронное письмо, он неосознанно передаст открытый текст зашифрованных частей сообщения обратно злоумышленнику.