CVE-2024-27448

🟠 Łataj w tym tygodniu

Wykonanie zdalnego kodu w MailDev przez spreparowany nagłówek Content-ID umożliwia zapisanie dowolnego kodu.

CVSS

9.1

EPSS

10.3%

Exploit

none

Vendor

Opis źródłowy (NVD)

MailDev 2 through 2.1.0 allows Remote Code Execution via a crafted Content-ID header for an e-mail attachment, leading to lib/mailserver.js writing arbitrary code into the routes.js file.

rce Brak patcha

Źródła i daty

Źródło	Wartość
NVD – CVSS	9.1
CISA KEV (aktywnie wykorzystywane)	Nie
FIRST EPSS (prawdopodobieństwo exploita)	10.3%
Opublikowano (NVD)	2024-04-05 06:15:10 UTC
Ostatnia modyfikacja (NVD)	2026-04-15 00:35:42 UTC

Referencje

https://gist.github.com/stypr/fe2003f00959f7e3d92ab9d5260433f8 (cve@mitre.org)
https://github.com/Tim-Hoekstra/MailDev-2.1.0-Exploit-RCE (cve@mitre.org)
https://github.com/maildev/maildev/issues/467 (cve@mitre.org)
https://github.com/maildev/maildev/releases (cve@mitre.org)
https://intrix.com.au/articles/exposing-major-security-flaw-in-maildev (cve@mitre.org)