[TLP:CLEAR] Exim opravuje středně závažnou zranitelnost
Exim verzí 4.97.1 opravuje středně závažnou zranitelnost [1]. Debian tuto zranitelnost opravil pro bullseye ve verzi 4.94.2-7+deb11u3 a pro bookworm ve verzi 4.96-15+deb12u5 [2].
Neautentizovanému vzdálenému útočníkovi je kvůli nesprávnému zpracování víceřádkového názvu souboru v hlavičce RFC 2231 umožněno obejít ochranný mechanismus blokování přípon $mime_filename a potenciálně doručit spustitelné přílohy do poštovních schránek koncových uživatelů [1].
Zranitelnost se nachází v produktu Exim ve verzích <4.97.1
CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:N
Více informací:
- CVE-2024-39929 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-20: Improper Input Validation at cwe.mitre.org
Zranitelnost byla veřejně oznámena 4. 7. 2024.
Odkazy
Publikovala Michaela Mačalíková dne 19. 7. 2024.
