Vulnérabilité dans OpenSMTPD
Date de publication :
Une vulnérabilité a été découverte dans OpenSMTPD, elle peut permettre à un attaquant, en cas d’exploitation réussie, d’exécuter des commandes en tant que root.
CVE-2020-7247 [Score CVSS v3 : 9.8] : smtp_mailaddr dans smtp_session.c peut permettre à des attaquants, via une session SMTP forgée, d’exécuter des commandes en tant que root. Cette vulnérabilité est due à une validation insuffisante des adresses de courrier.
Informations
La faille est activement exploitée :
Un correctif existe :
Une mesure de contournement existe :
Risques
Risques
- Exécution de commandes arbitraires
- Elévation de privilèges
Criticité
- Score CVSS v3 : 9.8
Existence d’un code d’exploitation
- Un PoC exploitant cette vulnérabilité est disponible publiquement
Composants vulnérables
- OpenSMTPD 6.6
CVE
- CVE-2020-7247
Solutions ou recommandations
Mise en place de correctifs de sécurité
- Mettre à jour les paquets OpenSMTPD
Solution de contournement
- Aucune solution de contournement n’est disponible actuellement