Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en el uso de ORCPT= en Exim 4 (CVE-2020-28026)

Gravedad CVSS v3.1:
CRÍTICA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
06/05/2021
Última modificación:
12/07/2022

Descripción

Exim 4 versiones anteriores a 4.94.2, presenta una Neutralización Inapropiada de Delimitadores de Línea, relevante en configuraciones no predeterminadas que habilitan la Delivery Status Notification (DSN). Determinados usos de ORCPT= pueden colocar una nueva línea en un archivo de encabezado spool e indirectamente permitir que atacantes remotos no autenticados ejecutarn comandos arbitrarios como root

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:exim:exim:*:*:*:*:*:*:*:* 4.00 (incluyendo) 4.94.2 (excluyendo)