Kmail
Уязвимости
11
Эксплуатируемые
0
Макс. CVSS
6.5
Макс. EPSS
0.04219
Распределение по критичности
Критический
0
Высокий
0
Средний
11
Низкий
0
Затронутые диапазоны версий
< 19.12.3< 6.2.0≤ 4.4.0≤ 5.3.0≤ 5.5.1
Также сопоставлено как (исходные строки): kmail,evolution,outlook,the_bat,nine,maildroid,gmail,postbox,messagelib,thunderbird,notes,horde_imp
Топ уязвимостей
CVE-2021-38373В KDE KMail 19.12.3 (aka 5.13.3) опция SMTP STARTTLS не учитывается (и сообщения в открытом виде отправляются), если не отмечено "Сервер требует аутентификацию".
CVE-2020-15954KDE KMail 19.12.3 (также известная как 5.13.3) участвует в незашифрованной связи POP3 в то время, когда пользовательский интерфейс указывает на то, что шифрование используется.
CVE-2020-11880Проблема была обнаружена в KDE KMail до версии 19.12.3. Используя проприетарный (не RFC6068) параметр "mailto?attach=...", веб-сайт (или другой источник ссылок mailto) может заставить KMail прикрепить локальные файлы к составленному сообщению электронной почты, не показывая пользователю предупреждение, как показано на примере attach=.bash_history value.
CVE-2016-7967KMail начиная с версии 5.3.0 использовал просмотрщик на основе QWebEngine с включенным JavaScript. Поскольку сгенерированный HTML выполняется в локальном контексте безопасности файлов, по умолчанию был включен доступ к удаленным и локальным URL-адресам.
CVE-2024-50624ispdbservice.cpp в KDE Kmail до версии 6.2.0 позволяет злоумышленникам, находящимся посередине, инициировать использование контролируемого злоумышленником почтового сервера, поскольку для URL-адреса, такого как http://autoconfig.example.com или http://example.com/.well-known/autoconfig, для получения конфигурации используется открытый текст HTTP. Это связано с kmail-account-wizard.
CVE-2014-8878KDE KMail не шифрует вложения в электронных письмах, когда включено "автоматическое шифрование", что позволяет удаленным злоумышленникам получать конфиденциальную информацию путем перехвата сетевого трафика.
CVE-2017-9604KDE kmail до версии 5.5.2 и messagelib до версии 5.5.2, распространяемые в KDE Applications до версии 17.04.2, не гарантируют, что действие плагина по подписи/шифрованию происходит во время использования функции "Отправить позже", что позволяет удаленным злоумышленникам получить конфиденциальную информацию путем перехвата сетевого трафика.
CVE-2017-17689Спецификация S/MIME допускает атаку с использованием гаджета изменения Cipher Block Chaining (CBC), которая может косвенно привести к эксфильтрации открытого текста, также известная как EFAIL.
CVE-2019-10732В KDE KMail 5.2.3 злоумышленник, владеющий S/MIME или PGP-зашифрованными электронными письмами, может обернуть их в виде подчастей в специально созданное многокомпонентное электронное письмо. Зашифрованные части могут быть дополнительно скрыты с использованием HTML/CSS или символов новой строки ASCII. Это измененное многокомпонентное электронное письмо может быть повторно отправлено злоумышленником предполагаемому получателю. Если получатель ответит на это (выглядящее безобидно) электронное письмо, он неосознанно передаст открытый текст зашифрованных частей сообщения обратно злоумышленнику.
CVE-2016-7968KMail начиная с версии 5.3.0 использовал просмотрщик на основе QWebEngine с включенным JavaScript. Содержимое HTML-почты не было очищено от JavaScript, и включенный код был выполнен.
CVE-2016-7966Через вредоносный URL-адрес, содержащий символ кавычки, можно было внедрить HTML-код в текстовый просмотрщик KMail. Из-за синтаксического анализатора, используемого в URL-адресе, невозможно было включить знак равенства (=) или пробел во внедренный HTML, что значительно снижает доступную функциональность HTML. Хотя можно включить индикатор HTML-комментария, чтобы скрыть содержимое.