Postal — это SMTP-сервер с открытым исходным кодом. В версиях Postal ниже 3.3.5 была уязвимость внедрения HTML, которая позволяла включать неэкранированные данные в интерфейс администратора. Основной способ добавления неэкранированных данных — метод send/raw API.
Это может привести к внедрению произвольного HTML-кода на страницу, что может привести к вводящему в заблуждение изменению страницы или к несанкционированному выполнению JavaScript. Исправлено в версии 3.3.5 и выше.
Показать оригинальное описание (EN)
Postal is an open source SMTP server. Postal versions less than 3.3.5 had a HTML injection vulnerability that allowed unescaped data to be included in the admin interface. The primary way for unescaped data to be added is via the API's "send/raw" method. This could allow arbitrary HTML to be injected in to the page which may modify the page in a misleading way or allow for unauthorised javascript to be executed. Fixed in 3.3.5 and higher.
Характеристики атаки
Последствия
Строка CVSS v3.1
Тип уязвимости (CWE)
Уязвимые продукты 1
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Postalserver Postal
cpe:2.3:a:postalserver:postal:*:*:*:*:*:*:*:*
|
— |
3.3.5
|