cve-2024-11182 - RunkIntel

# CVE-2024-11182 - MDaemon Email Server XSS Armazenado > [!high] CVSS 6.1 - CISA KEV - XSS Armazenado em Servidor de E-mail Corporativo > XSS armazenado no MDaemon Email Server permite execução de JavaScript arbitrário via e-mail HTML malicioso. Exploração ativa confirmada - adicionada ao CISA KEV em 2025-05-19. Atualizar para versão 24.5.1c imediatamente. ## Visão Geral **CVE-2024-11182** é uma vulnerabilidade de **Cross-Site Scripting armazenado (Stored XSS)** no **MDaemon Email Server**, solução de servidor de e-mail corporativo para Windows amplamente utilizada em pequenas e médias empresas como alternativa ao Microsoft Exchange. A falha permite que um atacante remoto injete JavaScript malicioso em mensagens de e-mail HTML através de tags `<img>` com atributos de eventos (`onerror`, `onload`), que são executadas no navegador do destinatário ao abrir ou visualizar o e-mail no webmail do MDaemon. A natureza **armazenada** do XSS diferencia esta falha de variantes refletidas: o payload malicioso é persistido no servidor de e-mail e executado cada vez que a mensagem comprometida é visualizada, sem necessidade de nova interação do atacante. Isso permite campanhas silenciosas onde um único e-mail malicioso pode comprometer múltiplos destinatários ao longo do tempo. A descoberta foi conduzida pela ESET, que relatou coordenadamente ao MDaemon antes da divulgação pública. A CISA adicionou esta CVE ao catálogo KEV em 2025-05-19, confirmando exploração ativa em ambientes reais. O MDaemon é especialmente popular no segmento de PMEs (pequenas e médias empresas) que utilizam infraestrutura de e-mail auto-hospedada no Windows, tornando-o vetor de interesse para atores que visam esse segmento via comprometimento de contas corporativas e roubo de credenciais. ## Resumo **CVE-2024-11182** é uma vulnerabilidade de **Cross-Site Scripting (XSS)** descoberta no **MDaemon Email Server**, servidor de e-mail corporativo amplamente utilizado em ambientes Windows. A falha permite que atacantes remotos injetem código JavaScript arbitrário através de mensagens de e-mail HTML contendo scripts em tags `<img>`. Quando um usuário abre ou visualiza o e-mail malicioso no cliente webmail do MDaemon, o JavaScript é executado no contexto do navegador da vítima, permitindo roubo de sessão, redirecionamento para páginas maliciosas ou execução de ações em nome do usuário autenticado. A [[_intel/sources|CISA]] adicionou esta vulnerabilidade ao catálogo KEV em maio de 2025 após confirmação de exploração ativa. **Pontuação de risco:** - CVSS v3.1: **6.1** (Médio) - requer interação do usuário - EPSS: **40%** de probabilidade de exploração nos próximos 30 dias - CISA KEV: adicionado em 2025-05-19 ## Detalhes Técnicos A vulnerabilidade reside na sanitização inadequada de conteúdo HTML em mensagens de e-mail recebidas pelo MDaemon Email Server antes da versão 24.5.1c: 1. **Vetor:** Atacante envia e-mail HTML com JavaScript embutido em atributo de tag `<img>` (ex: `onerror`, `onload`) 2. **Trigger:** Usuário abre ou visualiza o e-mail no webmail do MDaemon 3. **Execução:** JavaScript é carregado e executado no contexto da sessão autenticada do usuário 4. **Impacto:** Roubo de cookies de sessão, exfiltração de dados, redirecionamento malicioso A falha é classificada como **Stored XSS** - o payload malicioso é armazenado no servidor de e-mail e executado cada vez que a mensagem é visualizada. ## Exploração **Status atual:** Exploração ativa confirmada - adicionada ao CISA KEV em 2025-05-19. A ESET foi responsável pela descoberta e divulgação coordenada da vulnerabilidade. A exploração ativa foi confirmada antes da adição ao CISA KEV, sugerindo uso por atores de ameaça em campanhas de comprometimento de contas corporativas. **TTPs relacionadas:** - [[t1566-phishing|T1566 - Phishing]] - entrega de payload via e-mail malicioso - [[t1539-steal-web-session-cookie|T1539 - Steal Web Session Cookie]] - roubo de sessão via XSS - [[T1185-man-in-the-browser|T1185 - Man in the Browser]] - manipulação de sessão autenticada ## Produtos Afetados | Vendor | Produto | Versão Afetada | Versão com Fix | |--------|---------|----------------|----------------| | MDaemon Technologies | MDaemon Email Server | < 24.5.1c | 24.5.1c ou superior | ## Mitigação **Patch oficial:** - Atualizar MDaemon Email Server para versão **24.5.1c ou superior** - Release Notes: [MDaemon Release Notes](https://files.mdaemon.com/mdaemon/beta/RelNotes_en.html) **Ações recomendadas:** 1. Aplicar atualização para versão 24.5.1c ou posterior imediatamente 2. Habilitar Content Security Policy (CSP) no webmail do MDaemon 3. Configurar filtros de conteúdo para sanitizar HTML de e-mails externos 4. Monitorar logs de acesso webmail para sessões suspeitas 5. Considerar uso de cliente de e-mail desktop como alternativa ao webmail > [!latam] Relevância para Brasil e LATAM > O MDaemon Email Server é adotado por **pequenas e médias empresas brasileiras e latino-americanas** que preferem soluções de e-mail on-premise para Windows, especialmente escritórios de advocacia, contabilidade, clínicas de saúde e distribuidoras que operam com infraestrutura Windows local. No Brasil, o MDaemon compete com Microsoft Exchange no segmento de PMEs que não migram para cloud. XSS armazenado em servidores de e-mail corporativos é vetor comprovado de **Business Email Compromise (BEC)** — fraudes que causam prejuízos bilionários anuais no Brasil segundo dados do Banco Central e FEBRABAN. Atacantes podem explorar a vulnerabilidade para capturar sessões de e-mail de diretores financeiros e executar transferências fraudulentas. Administradores MDaemon devem verificar versão via painel de administração e atualizar imediatamente para 24.5.1c ou superior. ## Notas Relacionadas **CVEs relacionados:** [[cve-2024-21762|CVE-2024-21762]] · [[cve-2023-46805|CVE-2023-46805]] · [[cve-2024-11182|CVE-2024-11182]] **TTPs relacionadas:** [[t1566-phishing|T1566 - Phishing]] · [[t1539-steal-web-session-cookie|T1539 - Steal Web Session Cookie]] · [[t1185-browser-session-hijacking|T1185 - Browser Session Hijacking]] **Setores em risco:** [[government]] · [[financial]] · [[technology]] ## Referências - [NVD - CVE-2024-11182](https://nvd.nist.gov/vuln/detail/CVE-2024-11182) - [CISA KEV Catalog](https://www.cisa.gov/known-exploited-vulnerabilities-catalog) - [MDaemon Release Notes](https://files.mdaemon.com/mdaemon/beta/RelNotes_en.html) - [ESET Security Advisory](https://www.eset.com/)