Vulnérabilité dans OpenSMTPD
Date de publication :
Une vulnérabilité a été découverte dans OpenSMTPD, elle peut permettre à un attaquant, en cas d’exploitation réussie, d’exécuter des commandes en tant que root.
CVE-2020-7247 [Score CVSS v3 : 9.8] : smtp_mailaddr dans smtp_session.c peut permettre à des attaquants, via une session SMTP forgée, d’exécuter des commandes en tant que root. Cette vulnérabilité est due à une validation insuffisante des adresses de courrier.
Informations
La faille est activement exploitée :
Un correctif existe :
Une mesure de contournement existe :
Risques
Risques
-
Exécution de commandes arbitraires
Elévation de privilèges
Criticité
-
Score CVSS v3 : 9.8
Existence d’un code d’exploitation
-
Un PoC exploitant cette vulnérabilité est disponible publiquement
Composants vulnérables
-
OpenSMTPD 6.6
CVE
-
CVE-2020-7247
Solutions ou recommandations
Mise en place de correctifs de sécurité
- Mettre à jour les paquets OpenSMTPD
Solution de contournement
- Aucune solution de contournement n’est disponible actuellement