sagredo qmail до 2026.04.07 разрешает удаленное выполнение кода tls_quit из-за popen в notlshosts_auto в qmail-remote.c.
Показать оригинальное описание (EN)
sagredo qmail before 2026.04.07 allows tls_quit remote code execution because of popen in notlshosts_auto in qmail-remote.c.
Характеристики атаки
Способ атаки
По сети
Атака возможна удалённо
Сложность
Высокая
Сложно эксплуатировать
Нужны права
Не требуются
Права не нужны
Участие пользователя
Не требуется
Не нужно действие пользователя
Последствия
Конфиденциальность
Высокое
Полная утечка данных
Целостность
Высокое
Полная модификация данных
Доступность
Высокое
Полный отказ в обслуживании
Строка CVSS v3.1
Тип уязвимости (CWE)
Ссылки 6
https://blog.calif.io/p/we-asked-claude-to-audit-sagredos
cve@mitre.org
https://github.com/califio/publications/tree/main/MADBugs/qmail
cve@mitre.org
https://github.com/sagredo-dev/qmail/commit/749f607f6885e3d01b36f2647d7a1db88f1…
cve@mitre.org
https://github.com/sagredo-dev/qmail/pull/42
cve@mitre.org
https://github.com/sagredo-dev/qmail/releases/tag/v2026.04.07
cve@mitre.org
http://www.openwall.com/lists/oss-security/2026/04/18/5
af854a3a-2127-422b-91ae-364da2661108