Résumé
Le 19 mai 2025, la CISA (Agence de Cybersécurité et de Sécurité des Infrastructures) a averti d’une faille de sécurité dans MDaemon Email Server, un serveur de messagerie électronique.
Référencée sous CVE-2024-11182, Cette vulnérabilité permet à un attaquant distant d’exécuter du code JavaScript arbitraire dans le navigateur d’un utilisateur accédant à l’interface webmail, en exploitant une balise <img> malveillante insérée dans un e-mail.
Solutions
Il est recommandé de mettre à jour vers la dernière version de MDaemon Email Server ou ultérieure.
La faille est activement exploitée : Oui
Details techniques
Score CVSS : 5.3
Risques : Exécution de code arbitraire
Systèmes affectés
- MDaemon Email Server de la version 0 à 24.5.0
Documentation
- Bulletin de sécurité de MDaemon Server
https://files.mdaemon.com/mdaemon/beta/RelNotes_en.html - Nist Details CVE
https://nvd.nist.gov/vuln/detail/CVE-2024-11182 - CVE Details
https://www.cvedetails.com/cve/CVE-2024-11182/ - Reference CVE
https://www.cve.org/CVERecord?id=CVE-2024-11182 - CWE
https://cwe.mitre.org/data/definitions/79