Krytyczna podatność w Eximie – serwerze pocztowym obsługującym pół Internetu. Znaleziona ze wsparciem AI.

W 2023 roku około 59% publicznych serwerów pocztowych to właśnie Exim.

Właśnie załatano oraz opublikowano szczegóły podatności o ksywce Dead Letter, dzięki której atakujący mogą wykonywać kod na serwerze (RCE), bez uwierzytelnienia, w pełni zdalnie. Luka CVE-2026-45185 otrzymała “wycenę” 9.8/10 w skali CVSS.

Podatne są Eximy w wersjach od 4.97 do 4.99.2 (włącznie). Czyli wszystkie wersje od końca 2023 roku. Wymagane jest korzystanie z biblioteki GnuTLS (tak jest choćby w Debianie czy Ubuntu).

Ciekawostka. Badacze z firmy XBOW, którzy odkryli lukę, mocno korzystali z narzędzi AI przy całym badaniu, opisują je tak:

Badacze pracujący nad podatnościami, dzięki AI dostali przycisk turbo […] LLM mogą skrócić wczesne etapy badań nad podatnościami. Mogą pomóc zrozumieć nieznany kod, generować hipotezy, […] i docierać do podejrzanych obszarów. Wszystko to szybciej niż kiedykolwiek. Przy czym trudne rzeczy w vuln researchu pozostają nadal trudne.

~ms