An issue was discovered in MDaemon before 20.0.4. Remote Administration allows an attacker to perform a fixation of the anti-CSRF token. In order to exploit this issue, the user has to click on a malicious URL provided by the attacker and successfully authenticate into the application. Having the value of the anti-CSRF token, the attacker may trick the user into visiting his malicious page and performing any request with the privileges of attacked user.
Se detectó un problema en MDaemon versiones anteriores a 20.0.4. Una Administración Remota permite a un atacante llevar a cabo una reparación del token anti-CSRF. Para explotar este problema, el usuario debe hacer clic en una URL maliciosa proporcionada por el atacante y autenticarse con éxito en la aplicación. Teniendo el valor del token anti-CSRF, el atacante puede engañar al usuario al visitar su página maliciosa y llevar a cabo cualquier petición con los privilegios del usuario atacado
