CVE-2026-48840

CVSS 5.3 MEDIUMEPSS 0.3%CWE-839

Em resumo

O servidor de e-mail Exim, em versões anteriores à 4.99.4, pode vazar memória não inicializada para clientes em certas configurações de proxy ao processar payloads curtos. Isso pode expor dados sensíveis armazenados anteriormente na memória do servidor.

Detalhe técnico

Uma vulnerabilidade de divulgação de memória no Exim 4.88–4.99.3 ocorre quando configurações específicas de proxy processam payloads curtos especialmente elaborados, causando exposição de memória de pilha não inicializada para um cliente não autenticado. O ataque requer uma configuração de proxy vulnerável; o impacto é a divulgação de informações potencialmente sensíveis em memória.

Resumo gerado e traduzido por IA a partir da descrição oficial.

Exim 4.88 before 4.99.4, in some proxy configurations, mishandles certain short payloads, leading to disclosure of uninitialized stack memory values to a client.

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N

Produtos afetados

Exim · Exim

Quer saber se a sua infraestrutura está exposta a isto?

Falar com a TrueHacking →

Referências

https://exim.org/static/doc/security/EXIM-Security-2026-05-19.1 https://lists.debian.org/debian-lts-announce/2026/06/msg00004.html https://www.openwall.com/lists/oss-security/2026/05/29/3 http://www.openwall.com/lists/oss-security/2026/05/29/3