Email Server

Die Schwachstelle betrifft den MDaemon Email Server und steckt in dessen Webmail-Oberfläche. Es handelt sich um eine Cross-Site-Scripting-Lücke (XSS): Der Server filtert den Inhalt eingehender HTML-E-Mails nicht ausreichend. Ein Angreifer kann eine E-Mail im HTML-Format verschicken, in der er JavaScript-Code in einem Bild-Tag (img) unterbringt. Öffnet das Opfer diese Nachricht im Webmail-Client, wird der eingeschleuste Code im Browserfenster des Webmail-Nutzers ausgeführt – also im Sicherheitskontext der angemeldeten Sitzung. Der Angriff lässt sich aus der Ferne durchführen; nötig ist allein, dass der Empfänger die präparierte Nachricht im Webmail aufruft. Auf diesem Weg kann der Angreifer beliebigen JavaScript-Code im Konto des Opfers laufen lassen, etwa um Sitzungsdaten auszulesen, Aktionen im Namen des Nutzers auszuführen oder weitere Angriffe vorzubereiten. Betroffen sind Anwender, die auf das Webmail des MDaemon Email Servers zugreifen.