Multiples vulnérabilités dans SpamAssassin
Date de publication :
Deux vulnérabilités ont été découvertes dans Apache SpamAssassin, un filtre à pourriels effectuant des analyses de texte. Ces vulnérabilités peuvent permettre à un attaquant d’exécuter des commandes arbitraires en cas d’exploitation réussie.
CVE-2020-1930 [Score CVSS v3 : 8.1], CVE-2020-1931 [Score CVSS v3 : 8.1] : Un problème d’exécution de commandes a été trouvé dans Apache SpamAssassin 3.4.3 et ses versions antérieures. Des fichiers de règles ou de configuration malveillants, éventuellement téléchargés d'un serveur de mise à jour, pourraient exécuter des commandes arbitraires selon plusieurs scénarios. Cependant, il est noté qu’il s’agit d’une vulnérabilité difficile à exploiter.
Informations
La faille est activement exploitée :
Un correctif existe :
Une mesure de contournement existe :
Risques
- Exécution de commandes à distance
Criticité
- Score CVSS v3 : 8.1
Existence d’un code d’exploitation
- Aucun code d’exploitation n’est disponible pour l’instant
Composants vulnérables
- SpamAssassin versions 3.4.3 et antérieures
CVE
- CVE-2020-1930
- CVE-2020-1931
Solutions ou recommandations
Mise en place de correctifs de sécurité
- Mettre à jour SpamAssassin à la version 3.4.4
Solution de contournement
- Il est conseillé de n’utiliser que des sources de confiance pour les mises à jour et les fichiers de configuration