В развиваемом проектом Sagredo форке почтового сервера qmail выявлена уязвимость (CVE-2026-41113), позволяющая добиться удалённого выполнения произвольных команд на сервере с правами пользователя qmailr. Уязвимость вызвана отсутствием экранирования спецсимволов в имени хоста, возвращаемого DNS-сервером при определении MX-шлюза, в сочетании с передачей полученного имени в команду popen без должного разделения и фильтрации аргументов при вызове shell. Уязвимость устранена в выпуске 2026.04.07. В открытом доступе опубликован инструментарий для эксплуатации уязвимости. В октябре 2024 года прокт Sagredo внёс в утилиту qmail-remote изменение, добавляющее функцию "notlshosts_auto", которая запоминает хосты с некорректной реализацией протокола TLS, с которыми не удаётся установить TLS-соединение, для предотвращения зацикливание заведомо сбойной отправки почты на подобные хосты. Проблема в том, что сохранение имени хоста выполнялось через запуск командной оболочки при помощи функци popen() c аргументом "/bin/touch %s/control/notlshosts/'%s'" в который подставлялось имя MX-хоста, возвращённого DNS-сервером. Атакующий, мог запустить свой DNS-сервер, возвращающий в DNS-записи MX имя вида "x'`id>/tmp/pwned`'y.evil.com", и добиться выполнения подставленного кода, создав условия для вызова функции сохранения имени сбойного почтового сервера. Уязвимость выявлена при помощи одного запроса к AI-ассистенту Claude.
Источник: https://www.opennet.ru/opennews/art.shtml?num=65241
Источник: https://www.opennet.ru/opennews/art.shtml?num=65241