CVE-2024-23330

  1. OpenCVE
  2. Vulnerabilities (CVE)
  3. CVE-2024-23330
Tuta is an encrypted email service. In versions prior to 119.10, an attacker can attach an image in a html mail which is loaded from external resource in the default setting, which should prevent loading of external resources. When displaying emails containing external content, they should be loaded by default only after confirmation by the user. However, it could be recognized that certain embedded images (see PoC) are loaded, even though the "Automatic Reloading of Images" function is disabled by default. The reloading is also done unencrypted via HTTP and redirections are followed. This behavior is unexpected for the user, since the user assumes that external content will only be loaded after explicit manual confirmation. The loading of external content in e-mails represents a risk, because this makes the sender aware that the e-mail address is used, when the e-mail was read, which device is used and expose the user's IP address. Version 119.10 contains a patch for this issue.

5.3 /10

CVSS v3 : MEDIUM

V3 Legend

Vector :

Exploitability : 3.9 / Impact : 1.4

Attack Vector NETWORK

Attack Complexity LOW

Privileges Required NONE

User Interaction NONE

Confidentiality Impact LOW

Integrity Impact NONE

Availability Impact NONE

Scope UNCHANGED

References
Link Resource
https://github.com/tutao/tutanota/security/advisories/GHSA-32w8-v5fc-vpp7 Exploit Third Party Advisory
Configurations

Configuration 1 (hide)

cpe:2.3:a:tuta:tutanota:*:*:*:*:*:node.js:*:*
History

01 Feb 2024, 17:20

Type Values Removed Values Added
CPE cpe:2.3:a:tuta:tutanota:*:*:*:*:*:node.js:*:*
Summary
  • (es) Tuta es un servicio de correo electrónico cifrado. En versiones anteriores a la 119.10, un atacante puede adjuntar una imagen en un correo html que se carga desde un recurso externo en la configuración predeterminada, lo que debería impedir la carga de recursos externos. Al mostrar correos electrónicos con contenido externo, deben cargarse de forma predeterminada solo después de la confirmación por parte del usuario. Sin embargo, se podría reconocer que ciertas imágenes incrustadas (ver PoC) están cargadas, aunque la función "Recarga automática de imágenes" esté deshabilitada de forma predeterminada. La recarga también se realiza sin cifrar a través de HTTP y se siguen las redirecciones. Este comportamiento es inesperado para el usuario, ya que el usuario asume que el contenido externo solo se cargará después de una confirmación manual explícita. La carga de contenido externo en los correos electrónicos representa un riesgo, porque esto hace que el remitente sepa qué dirección de correo electrónico se utiliza, cuándo se leyó el correo electrónico, qué dispositivo se utiliza y expone la dirección IP del usuario. La versión 119.10 contiene un parche para este problema.
References () https://github.com/tutao/tutanota/security/advisories/GHSA-32w8-v5fc-vpp7 - () https://github.com/tutao/tutanota/security/advisories/GHSA-32w8-v5fc-vpp7 - Exploit, Third Party Advisory
First Time Tuta tutanota
Tuta

23 Jan 2024, 18:15

Type Values Removed Values Added
New CVE
Information

Published : 2024-01-23 18:15

Updated : 2024-02-01 17:20

NVD link : CVE-2024-23330

Mitre link : CVE-2024-23330

CVE.ORG link : CVE-2024-23330

JSON object : View

Products Affected

tuta

  • tutanota
CWE
CWE-918

Server-Side Request Forgery (SSRF)