Vulnerabilidad de divulgación de información de recorrido de directorios en IceWarp collaboration

Un atacante puede explotar esta vulnerabilidad enviando solicitudes maliciosas al endpoint de colaboración de IceWarp, manipulando el parámetro 'ticket' para acceder a archivos y directorios sensibles en el servidor. Esto podría resultar en la divulgación de información confidencial, como contraseñas, claves de cifrado, datos de usuarios o incluso código fuente. La falta de autenticación necesaria para la explotación amplía significativamente el riesgo, permitiendo a cualquier atacante externo intentar la explotación. La vulnerabilidad es similar a otras fallas de Directory Traversal que han permitido el acceso no autorizado a sistemas críticos.

Organizations utilizing IceWarp for collaboration and communication are at risk, particularly those running the affected versions (14.2.0.10–14.2.0.10). Shared hosting environments where multiple users share the same IceWarp instance are especially vulnerable, as a compromise of one user's account could potentially lead to the disclosure of data belonging to other users.

• windows / server: Monitor IceWarp server logs for unusual file access attempts or errors related to the collaboration endpoint. Use Sysinternals Process Monitor to observe file system activity and identify suspicious processes accessing sensitive files. • linux / server: Monitor IceWarp server logs for attempts to access files outside of the intended directory structure. Use auditd to track file access events and identify suspicious patterns.

auditctl -w /path/to/sensitive/files -p wa -k icewarp_traversal

• generic web: Monitor web server access logs for requests to the collaboration endpoint with unusual parameters in the 'ticket' field. Use curl to test the endpoint with various input values and observe the response.

curl 'http://icewarp-server/collaboration?ticket=../../../../etc/passwd'

1. 2026-03-13Disclosure

   disclosure

1. Reservado2026-02-13
2. Publicada2026-03-13
3. Modificada2026-03-16
4. EPSS actualizado2026-03-23

La mitigación principal es actualizar IceWarp a la versión corregida proporcionada por el proveedor. Mientras tanto, se pueden implementar medidas de seguridad adicionales para reducir el riesgo. Implementar reglas en un Web Application Firewall (WAF) o proxy para bloquear solicitudes que contengan caracteres sospechosos en el parámetro 'ticket'. Restringir el acceso al endpoint de colaboración solo a usuarios autorizados. Monitorear los registros del servidor en busca de intentos de acceso no autorizados o patrones de tráfico inusuales. Después de la actualización, confirmar que la vulnerabilidad ha sido resuelta verificando que las solicitudes maliciosas son bloqueadas o rechazadas.