CSRF- und XSS-Schwachstelle in EMA Mail von ARTEC IT Solutions (SYSS-2025-020/-021)

In der E-Mail-Archivierungssoftware "EMA Mail" von ARTEC IT Solutions wurden zwei Schwachstellen identifiziert.
Die erste ist eine Cross-Site Request Forgery (CSRF)-Schwachstelle. Diese ermöglicht Angreifenden, durch einen böswilligen Link Aktionen im Kontext des Opfers durchzuführen. Im vorliegenden Fall konnten E-Mails aus dem Archiv an andere E-Mail-Adressen weitergeleitet werden. Diese Adressen könnten bei passenden Bedingungen von den Angreifenden kontrolliert werden, sodass diese Zugriff auf die E-Mails des Opfers erlangen.
Die zweite Schwachstelle in EMA Mail ist eine Reflected Cross-Site Scripting (XSS)-Schwachstelle. Dabei konnte in einen Parameter JavaScript-Code eingeschleust werden, der dann in der Serverantwort zurückgegeben und im Browser ausgeführt wurde. Permanent gespeichert wurde der eingeschleuste JavaScript-Code jedoch nicht.

Detaillierte Informationen zu diesen gefundenen Schwachstellen finden Sie in unseren Security Advisories / You will find detailed information about these security issues in our Security Advisories:

• SYSS-2025-020 (CVE-2025-46610)
• SYSS-2025-021 (CVE-2025-46611)

Weitere Informationen über unsere Responsible Disclosure Policy bei der Veröffentlichung von Security Advisories finden Sie hier.

You will find further information about our Responsible Disclosure Policy concerning the publishing process of SySS Security Advisories here.