Bulwark Webmail — это автономный клиент веб-почты для Stalwart Mail Server. До версии 1.4.11 проверка подписи S/MIME не проверяла цепочку доверия сертификатов (checkChain: false). Любое электронное письмо, подписанное самозаверяющим или ненадежным сертификатом, отображалось как имеющее действительную подпись.
Эта уязвимость исправлена в версии 1.4.11.
Показать оригинальное описание (EN)
Bulwark Webmail is a self-hosted webmail client for Stalwart Mail Server. Prior to 1.4.11, S/MIME signature verification did not validate the certificate trust chain (checkChain: false). Any email signed with a self-signed or untrusted certificate was displayed as having a valid signature. This vulnerability is fixed in 1.4.11.
Характеристики атаки
Способ атаки
По сети
Атака возможна удалённо
Сложность
Низкая
Легко эксплуатировать
Условия для атаки
Не требуются
Нет дополнительных условий
Нужны права
Не требуются
Права не нужны
Участие пользователя
Не требуется
Не нужно действие пользователя
Последствия
Конфиденциальность
Нет
Нет утечки данных
Целостность
Высокое
Полная модификация данных
Доступность
Нет
Нет нарушения работы
Строка CVSS v4.0
Тип уязвимости (CWE)
Уязвимые продукты 1
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Bulwarkmail Webmail
cpe:2.3:a:bulwarkmail:webmail:*:*:*:*:*:*:*:*
|
— |
1.4.11
|