Vulnérabilité critique dans Exim

Selon la NSA, une vulnérabilité critique d’Exim, un agent de transport de courrier électronique, est activement exploitée dans la nature. Cette vulnérabilité peut permettre à un attaquant distant de provoquer une exécution de commandes arbitraires.

CVE-2019-10149 [Score CVSS v3 : 9.8] : Une vulnérabilité liée à une validation incorrecte de l'adresse du destinataire dans la fonction deliver_message() d’Exim peut conduire à une exécution de commandes arbitraires à distance.

Informations
+

Risques

  • Exécution de commandes arbitraires à distance

Criticité

  • Score CVSS v3 : 9.8

Existence d’un code d’exploitation

  • Des codes d’exploitation sont disponibles publiquement pour cette vulnérabilité, la rendant triviale à exploiter.

Composants vulnérables

  • Exim versions 4.87 à 4.91

CVE

  • CVE-2019-10149


Recommandations
+

Mise en place de correctifs de sécurité

  • Mettre à jour Exim vers une version non vulnérable (4.92 ou supérieure)

Solution de contournement

  • Aucune solution de contournement n’est disponible