Mahara 20.10 is affected by Cross Site Request Forgery (CSRF) that allows a remote attacker to remove inbox-mail on the server. The application fails to validate the CSRF token for a POST request. An attacker can craft a module/multirecipientnotification/inbox.php pieform_delete_all_notifications request, which leads to removing all messages from a mailbox.
Mahara versión 20.10 está afectado por un vulnerabilidad de tipo Cross Site Request Forgery (CSRF) que permite a un atacante remoto eliminar el correo de la bandeja de entrada del servidor. La aplicación no puede validar el token CSRF para una petición POST. Un atacante puede crear una petición de pieform_delete_all_notifications del archivo module/multirecipientnotification/inbox.php, que conlleva a eliminar todos los mensajes de un buzón.
