Foram divulgadas falhas críticas de segurança no SEPPMail Secure E-Mail Gateway, uma solução corporativa de proteção de e-mails, que podem ser exploradas para permitir execução remota de código e até a leitura de qualquer mensagem armazenada na appliance virtual.
Segundo os pesquisadores da InfoGuard Labs, Dario Weiss, Manuel Feifel e Olivier Becker, em um relatório publicado na segunda-feira, "essas vulnerabilidades poderiam ter sido exploradas para ler todo o tráfego de e-mail ou servir como vetor de entrada para a rede interna".
A lista de falhas identificadas é a seguinte:
CVE-2026-2743
, com pontuação CVSS 10,0, é uma vulnerabilidade de travessia de caminho no recurso de transferência de arquivos grandes, o LFT, da interface web do usuário do SeppMail, que pode permitir gravação arbitrária de arquivos e resultar em execução remota de código.
CVE-2026-7864
, com pontuação CVSS 6,9, é uma exposição de informações sensíveis do sistema que vaza variáveis de ambiente do servidor por meio de um endpoint sem autenticação na nova interface GINA.
CVE-2026-44125
, com pontuação CVSS 9,3, é uma falha de verificação de autorização em múltiplos endpoints da nova interface GINA, permitindo que atacantes remotos não autenticados acessem funções que normalmente exigiriam uma sessão válida.
CVE-2026-44126
, com pontuação CVSS 9,2, é uma vulnerabilidade de desserialização de dados não confiáveis que permite a atacantes remotos não autenticados executar código por meio de um objeto serializado especialmente criado.
CVE-2026-44127
, com pontuação CVSS 8,8, é uma vulnerabilidade de travessia de caminho sem autenticação em "/api.app/attachment/preview", que permite a atacantes remotos ler arquivos locais arbitrários e acionar a exclusão de arquivos no diretório alvo com os privilégios do processo "api.app".
CVE-2026-44128
, com pontuação CVSS 9,3, é uma vulnerabilidade de injeção em eval que permite execução remota de código sem autenticação ao explorar o fato de que o recurso /api.app/template passa diretamente o parâmetro upldd fornecido pelo usuário para uma instrução Perl eval(), sem qualquer sanitização.
CVE-2026-44129
, com pontuação CVSS 8,3, é uma neutralização incorreta de elementos especiais usados em um mecanismo de template que permite a atacantes remotos executar expressões arbitrárias de template e, dependendo dos plugins de template ativados, potencialmente alcançar execução remota de código.
Em um cenário hipotético de ataque, um threat actor poderia explorar a
CVE-2026-2743
para sobrescrever a configuração do syslog do sistema, em "/etc/syslog.conf", usando o acesso de escrita do usuário "nobody" ao arquivo e, ao final, obter um reverse shell baseado em Perl.
O resultado seria a tomada completa da appliance da SEPPmail, permitindo ao invasor ler todo o tráfego de e-mail e permanecer no gateway por tempo indefinido.
Um obstáculo importante para alcançar a execução remota de código é que o syslogd só recarrega a configuração quando recebe o sinal SIGHUP, também chamado de “signal hang up”.
O syslogd é um daemon do Linux responsável por gravar mensagens do sistema em arquivos de log ou no terminal de um usuário.
Segundo os pesquisadores, "a appliance usa o newsyslog para rotação de logs, por exemplo, gerando logfile.0, e isso ocorre a cada 15 minutos via cron".
Eles explicaram ainda que "o newsyslog rota arquivos que excedem um limite de tamanho e depois envia automaticamente um SIGHUP ao syslogd.
Ao inflar arquivos de log como o SEPPMaillog, que neste caso tem limite de 10.000 KB, conseguimos forçar a rotação e um recarregamento posterior da configuração.
Isso pode ser feito simplesmente enviando requisições web."
Embora a
CVE-2026-44128
tenha sido corrigida na versão 15.0.2.1, a
CVE-2026-44126
foi resolvida com o lançamento da versão 15.0.3.
As demais vulnerabilidades foram corrigidas na versão 15.0.4.
A divulgação ocorre poucas semanas depois de a SEPPmail lançar atualizações para corrigir outra falha crítica, a
CVE-2026-27441
, com pontuação CVSS 9,5, que poderia permitir a execução arbitrária de comandos do sistema operacional.
Publicidade
Nossa audiência é formada por analistas, pentesters, decisores e entusiastas que consomem nossas notícias todo dia pelo Site, Newsletter e Instagram. Fale com quem realmente importa para o seu negócio. Anuncie aqui. Saiba mais...