共收录 2 条相关安全情报。
← 返回所有主题Exim 4.88 before 4.99.4, in some proxy configurations, mishandles certain short payloads, leading to disclosure of uninitialized stack memory values to a client.
💡 风险点: 原文内容(由于配额限制,未进行深度 LLM 分析)
🎯 建议动作: 建议根据原文自行评估
CVE-2026-48840 是 Exim 邮件传输代理(MTA)中的一个信息泄露漏洞。影响版本为 Exim 4.88 至 4.99.4 之前的版本(不包括 4.99.4),在特定的代理配置下,当处理某些短 payload 时,Exim 错误地处理了内存中的数据,导致未初始化的栈内存值被泄露给客户端。攻击者可以利用此漏洞,通过网络发送特制的短 payload,从而获取栈上的敏感信息,如内存地址、其他进程数据等。CVSS 评分为 5.3(中危),攻击向量为网络,攻击复杂度低,无需权限和用户交互,仅影响机密性(低)。漏洞的利用不需要认证,但仅限于信息泄露,不直接影响完整性和可用性。目前没有已知的在野利用或 PoC 公开。建议用户尽快升级到 Exim 4.99.4 或更高版本以修复此漏洞。若无法立即升级,可考虑在代理配置中限制对 Exim 的访问,或禁用受影响的代理功能。
💡 影响/原因: 该漏洞允许远程攻击者泄露 Exim 服务器栈上的未初始化内存数据,可能暴露敏感信息。虽然严重性中等,但利用简单且影响广泛使用 Exim 的邮件系统,应及时修补。