Vulnérabilité dans OpenSMTPD
Date de publication :
Une vulnérabilité critique a été découverte dans OpenSMTPD, un serveur de messagerie électronique. Elle peut permettre à un attaquant distant et non-authentifié d’exécuter du code arbitraire, possiblement avec des privilèges de superutilisateur.
CVE-2020-8794 [Score CVSS v3 : 9.8] : Une vulnérabilité de type lecture hors-limites due à un défaut lors de la validation d’entrées a été découverte dans la fonction mta_io() d’OpenSMTPD. Elle peut permettre à un attaquant distant et non-authentifié d’exécuter du code arbitraire.
Informations
La faille est activement exploitée :
Un correctif existe :
Une mesure de contournement existe :
Risques
- Exécution de code arbitraire
Criticité
- Score CVSS v3 : 9.8
Existence d’un code d’exploitation
- Un code d’exploitation est disponible publiquement
Composants vulnérables
- OpenSMTPD versions antérieures à la 6.6.4
CVE
- CVE-2020-8794
Solutions ou recommandations
Mise en place de correctifs de sécurité
- Mettre à jour OpenSMTPD vers la version 6.6.4 ou supérieure
Solution de contournement
- Aucune solution de contournement n’est disponible