Vulnérabilité dans l’outil de filtrage Apache SpamAssassin

Date de publication : 29/09/2022

CVE-2020-1946 [Score CVSS v3 : 9.8] : Une vulnérabilité dans le mécanisme de vérification des fichiers de configuration de règles (extension en .cf) a été corrigée. Son exploitation peut permettre à un attaquant distant et non authentifié d'exécuter des commandes systèmes à travers un fichier de configuration malveillant utilisé par le dispositif vulnérable.

Informations

La faille est activement exploitée :

Un correctif existe :

Une mesure de contournement existe :

Risques

Risques

Exécution de commandes arbitraires

Criticité

Score CVSS v3 : 9.8

Existence d’un code d’exploitation

Aucun code d’exploitation n’est disponible publiquement à l’heure actuelle.

Composants vulnérables

Les versions d’Apache SpamAssassin antérieures à 3.4.5 sont impactées par cette vulnérabilités.

CVE

CVE-2020-1946

Solutions ou recommandations

Mise en place de correctifs de sécurité

Mettre à jour Apache SpamAssasin vers la version 3.4.5.

Solution de contournement

Aucune solution de contournement n’est disponible publiquement à l’heure actuelle.
Par ailleurs, il est recommandé de n’utiliser que des canaux de mise à jour ou des fichiers .cf tiers provenant de sources sûres.

Liens

[CVE-2020-1946] Apache SpamAssassin malicious rule configuration (.cf) files ca…