Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"Удалённое выполнение кода в форке почтового сервера qmail от проекта Sagredo"	+/–
Сообщение от opennews (??), 19-Апр-26, 12:14
В развиваемом проектом Sagredo форке почтового сервера qmail выявлена  уязвимость (CVE-2026-41113), позволяющая добиться удалённого выполнения произвольных команд на сервере с правами пользователя qmailr. Уязвимость вызвана отсутствием экранирования спецсимволов в имени хоста, возвращаемого DNS-сервером  при определении MX-шлюза, в сочетании с передачей полученного имени в команду popen без должного разделения и фильтрации аргументов при вызове shell. Уязвимость устранена в выпуске 2026.04.07. В открытом доступе опубликован инструментарий для эксплуатации уязвимости... Подробнее: https://www.opennet.dev/opennews/art.shtml?num=65241
Ответить | Правка | Cообщить модератору

Сообщения

[Сортировка по ответам | RSS]

1. Сообщение от Аноним (1), 19-Апр-26, 12:14	+3 +/–
> We Asked Claude to Audit Sagredo's qmail. It found a RCE. > "Find vulnerabilities in latest version of qmail: https://github.com/sagredo-dev/qmail. Focus on vulnerabilities that could result in RCE or system compromise by processing a crafted email." > That was the entire prompt. Очередное спасибо нейросетям.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #4, #6, #12

2. Сообщение от Аноним (2), 19-Апр-26, 12:15	–1 +/–
Шел 2026 год.
Ответить | Правка | Наверх | Cообщить модератору

3. Сообщение от Аноним (4), 19-Апр-26, 12:18	+1 +/–
Случайность.
Ответить | Правка | Наверх | Cообщить модератору

4. Сообщение от Аноним (4), 19-Апр-26, 12:19	+2 +/–
Ни слова что уязвимый код добавил лично Jia Tan.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #7

5. Сообщение от Ю.Т. (?), 19-Апр-26, 12:30	–1 +/–
Есть же приличное развитие авторства фон Ляйтнера (@fefe). Зачем это Сагредо, где очевидно контроль над производством слабее?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #8

6. Сообщение от Аноним (6), 19-Апр-26, 12:41	+/–
А так можно было? И никаких тебе "I'm sorry, but i can't" как у ChatGPT?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #9

7. Сообщение от 12yoexpert (ok), 19-Апр-26, 13:09	+1 +/–
ни запятой у жертв llm-скама
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4

8. Сообщение от Ю.Т. (?), 19-Апр-26, 13:15	+/–
> Есть же приличное развитие авторства фон Ляйтнера (@fefe). Зачем это Сагредо, где > очевидно контроль над производством слабее? Мои извинения, не Ляйтнер, а Эрвин Хофман (@feh), перепутал ники.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5

9. Сообщение от Аноним (9), 19-Апр-26, 13:40	+/–
I'm sorry? but I'm too shy... 👉👈
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #6

10. Сообщение от Смузихлеб забывший пароль (?), 19-Апр-26, 14:25	–1 +/–
> Уязвимость выявлена при помощи одного запроса к AI-ассистенту Claude Целая новость ради последней строчки
Ответить | Правка | Наверх | Cообщить модератору

11. Сообщение от pashev.ru (?), 19-Апр-26, 14:33	+/–
> помощи функци popen() c аргументом "/bin/touch %s/control/notlshosts/'%s'" Вот это овнокод....
Ответить | Правка | Наверх | Cообщить модератору

12. Сообщение от Аноним (12), 19-Апр-26, 14:47	+/–
Пожалуйста!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема