Em meados de julho de 2023, duas vulnerabilidades críticas de segurança foram descobertas no Benno MailArchiv.
Um problema afeta uma vulnerabilidade crítica de XSS (Cross Site Scripting), o outro é uma vulnerabilidade crítica de XSRF (Cross-Site Request Forgery).

Para as duas vulnerabilidades de segurança, foram atribuídos números CVE:

  • CVE-2023-38347 (para a vulnerabilidade de XSS)
  • CVE-2023-38348 (para a vulnerabilidade XSRF)

Solução:

Por favor, atualize sua instalação do Benno MailArchiv o mais rápido possível para a versão mais recente! Através da instalação dos pacotes benno-web (versão 2.10.2) e benno-rest (versão 2.10.1) as duas componentes relevantes serão atualizadas. As duas vulnerabilidades críticas de segurança serão fechadas.

Nota importante sobre a atualização:

A atualização exige diretamente a partir da instalação o uso de HTTPS (ou seja, http criptografado com SSL) para a WebApp!
Após a atualização, um login na Benno WebApp só será possível via HTTPS

Ainda existe a possibilidade de usar o login para HTTP (não criptografado). No entanto, isso precisa ser ativado propositalmente. Neste artigo no Benno Wiki, a ativação do login em HTML simples é explicada: https://wiki.benno-mailarchiv.de/doku.php/http_plaintext_access

ATENÇÃO – IMPORTANTE:
A vulnerabilidade XSS só é efetivamentefechadacom a utilização de HTTPS!
Se a instalação for configurada manualmente para login em HTML simples, conforme descrito anteriormente,a vulnerabilidade de segurança XSS permanece ativa

Mais informações sobre as duas vulnerabilidades críticas de segurança:

Relativamente à CVE-2023-38347 (falha XSS):
A aplicação Web Benno apresenta e-mails na interface Web sem filtragem. Antes de exibir o código HTML, este não é verificado quanto a código JavaScript malicioso, etc., ou seja, não é filtrado.
Se um e-mail arquivado contém código JavaScript malicioso direcionado e esse e-mail for exibido por um usuário na aplicação Web Benno, o código JavaScript pode acessar o cookie de sessão, lê-lo e transmitir as informações ao atacante. Um atacante poderia, por exemplo, exfiltrar as credenciais de acesso ao MailArchiv Benno do usuário afetado e obter acesso ao arquivo de e-mail (se acessível pela Internet). Da mesma forma, seria possível alterar a senha do usuário logado na aplicação Web Benno. (Esse vetor de ataque é limitado à duração da sessão do cookie. Fechar o navegador da vítima invalida o cookie de sessão).
No pacote benno-web, o tratamento de cookies foi alterado com a extensão do modo httponly e o uso de cookies seguros. Um token CSRF foi adicionado aos formulários em benno-web. Com isso, o servidor Web agora pode verificar se o envio de um formulário foi feito por um usuário legítimo através do navegador ou não. Com a versão atualizada de benno-web e benno-rest, essa vulnerabilidade XSS é fechada. Antes de exibir e-mails formatados em HTML, o código JavaScript agora é removido dentro de benno-rest.

Relativamente à CVE-2023-38348 (falha XSRF):
Devido à vulnerabilidade XSRF, um administrador pode ser levado a uma página preparada e lá ser levado a alterar sua senha ou fazer outras configurações - que podem cair nas mãos do atacante. Os atacantes têm a possibilidade de obter credenciais de acesso e outras características configuradas pelo administrador através da aplicação Web.
No pacote benno-web, agora é usado o token CSRF. Durante o login de um usuário, o benno-web cria um token CSRF. Este é gerenciado na sessão e expira após o término da sessão. O benno-web adiciona esse token CSRF a cada formulário Web (como uma tag oculta) que causa alterações na base de dados ao ser enviado (por exemplo, alterar senha, ajustar usuário, etc.). Se um administrador enviar uma alteração com isso, o token é enviado junto e verificado se é igual ao emitido na sessão. Ataques "man in the middle" serão efetivamente impedidos no futuro.
Com a versão atualizada de benno-web e benno-rest, essa vulnerabilidade é fechada.