Katalog CVE

CVE-2020-37248

ŚrednieCVSS 6.5
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.02%

Percentyl 5 - wyżej niż 5% wszystkich znanych CVE

Streszczenie

OfflineIMAP w wersjach przed 8.0.3 ufa serwerowi w zakresie jego możliwości STARTTLS przed uwierzytelnieniem, co umożliwia ataki STRIPTLS oraz man-in-the-middle, przejmując połączenie i wyciągając dane logowania w postaci niezaszyfrowanej.

Ocena ryzyka

Organizacja jest narażona na przechwycenie danych logowania przez atakujących, co może prowadzić do nieautoryzowanego dostępu do kont użytkowników.

Rekomendacja

Zaleca się aktualizację OfflineIMAP do wersji 8.0.3 lub nowszej, aby zlikwidować tę podatność.

Oryginalny opis (angielski, źródło NVD)

OfflineIMAP before 8.0.3 trusts the server with their STARTTLS capability prior to authentication, which allows STRIPTLS/man-in-the-middle attacks, taking over the connection and extracting account credentials in cleartext.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS