Vulnérabilité critique dans Exim
Date de publication :
Selon la NSA, une vulnérabilité critique d’Exim, un agent de transport de courrier électronique, est activement exploitée dans la nature. Cette vulnérabilité peut permettre à un attaquant distant de provoquer une exécution de commandes arbitraires.
CVE-2019-10149 [Score CVSS v3 : 9.8] : Une vulnérabilité liée à une validation incorrecte de l'adresse du destinataire dans la fonction deliver_message() d’Exim peut conduire à une exécution de commandes arbitraires à distance.
Informations
La faille est activement exploitée :
Un correctif existe :
Une mesure de contournement existe :
Risques
Exécution de commandes arbitraires à distance
Criticité
Score CVSS v3 : 9.8
Existence d’un code d’exploitation
Des codes d’exploitation sont disponibles publiquement pour cette vulnérabilité, la rendant triviale à exploiter.
Composants vulnérables
Exim versions 4.87 à 4.91
CVE
CVE-2019-10149
Solutions ou recommandations
Mise en place de correctifs de sécurité
Mettre à jour Exim vers une version non vulnérable (4.92 ou supérieure)
Solution de contournement
Aucune solution de contournement n’est disponible