CVE-2024-41958

mailcow: dockerized is an open source groupware/email suite based on docker. A vulnerability has been discovered in the two-factor authentication (2FA) mechanism. This flaw allows an authenticated attacker to bypass the 2FA protection, enabling unauthorized access to other accounts that are otherwise secured with 2FA. To exploit this vulnerability, the attacker must first have access to an account within the system and possess the credentials of the target account that has 2FA enabled. By leveraging these credentials, the attacker can circumvent the 2FA process and gain access to the protected account. This issue has been addressed in the `2024-07` release. All users are advised to upgrade. There are no known workarounds for this vulnerability.
Configurations

Configuration 1 (hide)

cpe:2.3:a:mailcow:mailcow\:_dockerized:*:*:*:*:*:*:*:*

History

20 Sep 2024, 12:58

Type Values Removed Values Added
CVSS v2 : unknown
v3 : 6.6
v2 : unknown
v3 : 7.2
CWE NVD-CWE-noinfo
CPE cpe:2.3:a:mailcow:mailcow\:_dockerized:*:*:*:*:*:*:*:*
First Time Mailcow mailcow\
Mailcow
References () https://github.com/mailcow/mailcow-dockerized/commit/f33d82ffc11ed3438609d4e7a6baa78cb3305bc3 - () https://github.com/mailcow/mailcow-dockerized/commit/f33d82ffc11ed3438609d4e7a6baa78cb3305bc3 - Patch
References () https://github.com/mailcow/mailcow-dockerized/security/advisories/GHSA-4fcc-q245-qqgg - () https://github.com/mailcow/mailcow-dockerized/security/advisories/GHSA-4fcc-q245-qqgg - Third Party Advisory

06 Aug 2024, 16:30

Type Values Removed Values Added
Summary
  • (es) mailcow: dockerized es un software colaborativo/paquete de correo electrónico de código abierto basado en Docker. Se ha descubierto una vulnerabilidad en el mecanismo de autenticación de dos factores (2FA). Esta falla permite que un atacante autenticado evite la protección 2FA, permitiendo el acceso no autorizado a otras cuentas que de otro modo estarían protegidas con 2FA. Para aprovechar esta vulnerabilidad, el atacante primero debe tener acceso a una cuenta dentro del sistema y poseer las credenciales de la cuenta objetivo que tiene 2FA habilitada. Al aprovechar estas credenciales, el atacante puede eludir el proceso 2FA y obtener acceso a la cuenta protegida. Este problema se solucionó en la versión "2024-07". Se recomienda a todos los usuarios que actualicen. No se conocen workarounds para esta vulnerabilidad.

05 Aug 2024, 20:15

Type Values Removed Values Added
New CVE

Information

Published : 2024-08-05 20:15

Updated : 2024-09-20 12:58


NVD link : CVE-2024-41958

Mitre link : CVE-2024-41958

CVE.ORG link : CVE-2024-41958


JSON object : View

Products Affected

mailcow

  • mailcow\
CWE
NVD-CWE-noinfo CWE-697

Incorrect Comparison