Múltiples vulnerabilidades en Mailman 2.x

Se han encontrado varias vulnerabilidades en Mailman que pueden ser aprovechadas por atacantes para perpetrar ataques de cross site scripting o provocar una denegación de servicio.

min

Mailman es un gestor de listas de distribución por correo electrónico muy popular. Programado en Python, está sustituyendo rápidamente a los viejos entornos “majordomo”, por su interfaz gráfica, su buen nivel de integración de funciones y fácil modificación.

El primer error se da en la función de registro, que puede ser aprovechado para inyectar un mensaje falso en los registros de error a través de una URL especialmente manipulada. Para poder aprovechar el problema es necesario que el administrador visite una página especialmente manipulada.

El segundo error se da a la hora de procesar cabeceras formadas de forma errónea. Si no siguen el estándar RFC 2231, pueden provocar una denegación de servicio y hacer que la aplicación deje de funcionar.

El tercer fallo se debe a que una entrada no especificada no es debidamente depurada antes de ser devuelta al usuario, lo que permite que código HTML y script arbitrario pueda ser ejecutado en el navegador del usuario bajo el contexto del lugar afectado.

Los fallos han sido corregidos en la versión 2.1.9rc1 de Mailman.

Publicidad
Silicon ES Podcast: tecnología que impulsa los…
sponsorisé
Ciber resiliencia en la era de la IA y el ransomware