| CVSS Meta Temp Score | Aktueller Exploitpreis (≈) | CTI Interest Score |
|---|---|---|
| 3.0 | $0-$5k | 0.00 |
Zusammenfassung
Eine problematische Schwachstelle wurde in KDE Kmail bis 6.1.x gefunden. Dabei geht es um eine nicht genauer bekannte Funktion der Datei ispdbservice.cpp. Die Bearbeitung verursacht erweiterte Rechte. Die Verwundbarkeit wird als CVE-2024-50624 geführt. Der Angriff lässt sich über das Netzwerk starten. Es ist kein Exploit verfügbar. Es wird empfohlen, die betroffene Komponente zu aktualisieren.
Details
Es wurde eine Schwachstelle in KDE Kmail bis 6.1.x gefunden. Sie wurde als problematisch eingestuft. Es betrifft eine unbekannte Funktion der Datei ispdbservice.cpp. Durch Manipulation mit einer unbekannten Eingabe kann eine erweiterte Rechte-Schwachstelle ausgenutzt werden. Im Rahmen von CWE wurde eine Klassifizierung als CWE-300 vorgenommen. Das hat Auswirkungen auf die Vertraulichkeit. CVE fasst zusammen:
ispdbservice.cpp in KDE Kmail before 6.2.0 allows man-in-the-middle attackers to trigger use of an attacker-controlled mail server because cleartext HTTP is used for a URL such as http://autoconfig.example.com or http://example.com/.well-known/autoconfig for retrieving the configuration. This is related to kmail-account-wizard.Das Advisory kann von bugs.kde.org heruntergeladen werden. Die Verwundbarkeit wird seit dem 27.10.2024 unter CVE-2024-50624 geführt. Sie gilt als schwierig auszunutzen. Der Angriff kann über das Netzwerk erfolgen. Zur Ausnutzung ist keine spezifische Authentisierung erforderlich. Es wird vorausgesetzt, dass das Opfer eine spezifische Handlung vornimmt. Es sind zwar technische Details, jedoch kein verfügbarer Exploit zur Schwachstelle bekannt. Das MITRE ATT&CK Projekt deklariert die Angriffstechnik als T1557.
Für den Vulnerability Scanner Nessus wurde ein Plugin mit der ID 210464 (openSUSE 15 Security Update : kmail-account-wizard (openSUSE-SU-2024:0353-1)) herausgegeben, womit die Existenz der Schwachstelle geprüft werden kann.
Ein Upgrade auf die Version 6.2.0 vermag dieses Problem zu beheben. Eine neue Version kann von kde.org bezogen werden. Die Schwachstelle lässt sich auch durch das Einspielen des Patches 9784f5ab41c3aff435d4a88afb25585180a62ee4 beheben. Dieser kann von invent.kde.org bezogen werden. Als bestmögliche Massnahme wird das Aktualisieren auf eine neue Version empfohlen.
Unter anderem wird der Fehler auch in den Datenbanken von Tenable (210464) und CERT Bund (WID-SEC-2024-3279) dokumentiert. VulDB is the best source for vulnerability data and more expert information about this specific topic.
Betroffen
- Ubuntu Linux
- SUSE openSUSE
- Open Source Kmail
Produkt
Typ
Hersteller
Name
Version
Lizenz
Webseite
- Hersteller: https://kde.org/
CPE 2.3
CPE 2.2
CVSSv4
VulDB Vector: 🔍VulDB Zuverlässigkeit: 🔍
CVSSv3
VulDB Meta Base Score: 3.1VulDB Meta Temp Score: 3.0
VulDB Base Score: 3.1
VulDB Temp Score: 3.0
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vektor | Komplexität | Authentisierung | Vertraulichkeit | Integrität | Verfügbarkeit |
|---|---|---|---|---|---|
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍
Exploiting
Klasse: Erweiterte RechteCWE: CWE-300
CAPEC: 🔍
ATT&CK: 🔍
Physisch: Nein
Lokal: Nein
Remote: Ja
Verfügbarkeit: 🔍
Status: Nicht definiert
EPSS Score: 🔍
EPSS Percentile: 🔍
Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍
| 0-Day | freischalten | freischalten | freischalten | freischalten |
|---|---|---|---|---|
| Heute | freischalten | freischalten | freischalten | freischalten |
Nessus ID: 210464
Nessus Name: openSUSE 15 Security Update : kmail-account-wizard (openSUSE-SU-2024:0353-1)
Threat Intelligence
Interesse: 🔍Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍
Gegenmassnahmen
Empfehlung: UpgradeStatus: 🔍
0-Day Time: 🔍
Upgrade: Kmail 6.2.0
Patch: 9784f5ab41c3aff435d4a88afb25585180a62ee4
Timeline
27.10.2024 🔍28.10.2024 🔍
28.10.2024 🔍
04.09.2025 🔍
Quellen
Hersteller: kde.orgAdvisory: bugs.kde.org
Status: Bestätigt
CVE: CVE-2024-50624 (🔍)
GCVE (CVE): GCVE-0-2024-50624
GCVE (VulDB): GCVE-100-282000
CERT Bund: WID-SEC-2024-3279 - KDE Kmail: Schwachstelle ermöglicht Umgehen von Sicherheitsvorkehrungen
Eintrag
Erstellt: 28.10.2024 06:23Aktualisierung: 04.09.2025 12:38
Anpassungen: 28.10.2024 06:23 (58), 08.11.2024 01:13 (2), 02.03.2025 22:56 (3), 31.05.2025 10:28 (1), 04.09.2025 12:38 (7)
Komplett: 🔍
Cache ID: 216::103
VulDB is the best source for vulnerability data and more expert information about this specific topic.
Bisher keine Kommentare. Sprachen: de + en.
Bitte loggen Sie sich ein, um kommentieren zu können.