Удалённое выполнение кода в форке почтового сервера qmail от проекта Sagredo

19.04.2026 11:55 (MSK)

В развиваемом проектом Sagredo форке почтового сервера qmail выявлена уязвимость (CVE-2026-41113), позволяющая добиться удалённого выполнения произвольных команд на сервере с правами пользователя qmailr. Уязвимость вызвана отсутствием экранирования спецсимволов в имени хоста, возвращаемого DNS-сервером при определении MX-шлюза, в сочетании с передачей полученного имени в команду popen без должного разделения и фильтрации аргументов при вызове shell. Уязвимость устранена в выпуске 2026.04.07. В открытом доступе опубликован инструментарий для эксплуатации уязвимости.

В октябре 2024 года прокт Sagredo внёс в утилиту qmail-remote изменение, добавляющее функцию "notlshosts_auto", которая запоминает хосты с некорректной реализацией протокола TLS, с которыми не удаётся установить TLS-соединение, для предотвращения зацикливание заведомо сбойной отправки почты на подобные хосты.

Проблема в том, что сохранение имени хоста выполнялось через запуск командной оболочки при помощи функци popen() c аргументом "/bin/touch %s/control/notlshosts/'%s'" в который подставлялось имя MX-хоста, возвращённого DNS-сервером. Атакующий, мог запустить свой DNS-сервер, возвращающий в DNS-записи MX имя вида "x'`id>/tmp/pwned`'y.evil.com", и добиться выполнения подставленного кода, создав условия для вызова функции сохранения имени сбойного почтового сервера. Уязвимость выявлена при помощи одного запроса к AI-ассистенту Claude.

исправить +/–

Лицензия: CC BY 3.0

Короткая ссылка: https://opennet.ru/65241-qmail

Ключевые слова: qmail, sagredo

При перепечатке указание ссылки на opennet.ru обязательно

Обсуждение (11)

1.1, Аноним (1), 12:14, 19/04/2026 [ответить] [﹢﹢﹢] [ · · · ]	+3 +/–
> We Asked Claude to Audit Sagredo's qmail. It found a RCE. > "Find vulnerabilities in latest version of qmail: https://github.com/sagredo-dev/qmail. Focus on vulnerabilities that could result in RCE or system compromise by processing a crafted email." > That was the entire prompt. Очередное спасибо нейросетям.

2.4, Аноним (4), 12:19, 19/04/2026 [^] [^^] [^^^] [ответить]	+2 +/–
Ни слова что уязвимый код добавил лично Jia Tan.

3.7, 12yoexpert (ok), 13:09, 19/04/2026 [^] [^^] [^^^] [ответить]	+1 +/–
ни запятой у жертв llm-скама

2.6, Аноним (6), 12:41, 19/04/2026 [^] [^^] [^^^] [ответить]	+/–
А так можно было? И никаких тебе "I'm sorry, but i can't" как у ChatGPT?

3.9, Аноним (9), 13:40, 19/04/2026 [^] [^^] [^^^] [ответить]	+/–
I'm sorry? but I'm too shy... 👉👈

1.2, Аноним (2), 12:15, 19/04/2026 [ответить] [﹢﹢﹢] [ · · · ]	–1 +/–
Шел 2026 год.

1.3, Аноним (4), 12:18, 19/04/2026 [ответить] [﹢﹢﹢] [ · · · ]	+1 +/–
Случайность.

1.5, Ю.Т. (?), 12:30, 19/04/2026 [ответить] [﹢﹢﹢] [ · · · ]	–1 +/–
Есть же приличное развитие авторства фон Ляйтнера (@fefe). Зачем это Сагредо, где очевидно контроль над производством слабее?

2.8, Ю.Т. (?), 13:15, 19/04/2026 [^] [^^] [^^^] [ответить]	+/–
> Есть же приличное развитие авторства фон Ляйтнера (@fefe). Зачем это Сагредо, где > очевидно контроль над производством слабее? Мои извинения, не Ляйтнер, а Эрвин Хофман (@feh), перепутал ники.

1.10, Смузихлеб забывший пароль (?), 14:25, 19/04/2026 [ответить] [﹢﹢﹢] [ · · · ]	–1 +/–
> Уязвимость выявлена при помощи одного запроса к AI-ассистенту Claude Целая новость ради последней строчки

1.11, pashev.ru (?), 14:33, 19/04/2026 [ответить] [﹢﹢﹢] [ · · · ]	+/–
> помощи функци popen() c аргументом "/bin/touch %s/control/notlshosts/'%s'" Вот это овнокод....

Добавить комментарий

Текст: