Inicio / Alerta Temprana / Vulnerabilidades / CVE-2019-12938

Vulnerabilidad en htaccess en el componente Roundcube de Analogic Poste.io (CVE-2019-12938)

Tipo: 
Fallo del mecanismo de protección
Gravedad: 
Media
Fecha publicación : 
24/06/2019
Última modificación: 
27/06/2019
Descripción
El componente Roundcube de Analogic Poste.io versión 2.1.6, utiliza .htaccess para proteger los registros y carpetas, que es efectivo con el servidor HTTP de Apache pero no es efectivo con nginx. Los atacantes pueden leer los registros por medio del URI webmail/logs/sendmail.
Impacto
Vector de acceso: A través de red
Complejidad de Acceso: Baja
Autenticación: Requiere una única instancia para explotarla
Tipo de impacto: No hay impacto en la integridad del sistema + Afecta parcialmente a la confidencialidad del sistema + No hay impacto en la disponibilidad del sistema
Productos y versiones vulnerables
  • Analogic Poste.io 2.1.6
Referencias a soluciones, herramientas e información
Explicación de los campos