Vulnerabilidades en SEPPMail permiten ejecución remota de código y acceso a correos
Publicado el
Vulnerabilidades críticas en SEPPMail
Recientemente, se han revelado importantes vulnerabilidades de seguridad en SEPPMail Secure E-Mail Gateway, una solución de seguridad de correo electrónico de nivel empresarial. Estas brechas podrían ser utilizadas por atacantes para lograr ejecución remota de código (RCE) y acceder a correos electrónicos arbitrarios desde el dispositivo virtual. Según los investigadores de InfoGuard Labs, Dario Weiss, Manuel Feifel y Olivier Becker, estas vulnerabilidades representan un riesgo significativo, ya que permiten la lectura de todo el tráfico de correo o pueden ser un vector de entrada a la red interna.
Detalles de las vulnerabilidades
Los defectos identificados incluyen:
- CVE-2026-2743 (CVSS 10.0): Vulnerabilidad de traversal de ruta en la función de transferencia de archivos grandes (LFT) de la interfaz web del usuario de SEPPMail, que podría permitir la escritura de archivos arbitrarios, resultando en ejecución remota de código.
- CVE-2026-7864 (CVSS 6.9): Exposición de información sensible que filtra variables del entorno del servidor a través de un endpoint no autenticado en la nueva interfaz GINA.
- CVE-2026-44125 (CVSS 9.3): Falta de verificación de autorización para múltiples endpoints en GINA que permite a atacantes remotos no autenticados acceder a funciones que normalmente requerirían una sesión válida.
- CVE-2026-44126 (CVSS 9.2): Vulnerabilidad de deserialización de datos no confiables, que permite a atacantes remotos ejecutar código mediante un objeto serializado manipulado.
- CVE-2026-44127 (CVSS 8.8): Vulnerabilidad de traversal de ruta no autenticada en "/api.app/attachment/preview" que permite a atacantes leer archivos locales arbitrarios y eliminar archivos en el directorio objetivo con los privilegios del proceso "api.app".
- CVE-2026-44128 (CVSS 9.3): Vulnerabilidad de inyección eval que permite la ejecución remota de código no autenticada al aprovechar el hecho de que la función /api.app/template pasa directamente parámetros proporcionados por el usuario a una declaración Perl eval() sin sanitización.
- CVE-2026-44129 (CVSS 8.3): Neutralización inadecuada de elementos especiales usados en un motor de plantillas, permitiendo a atacantes ejecutar expresiones de plantilla arbitrarias y potencialmente lograr ejecución remota de código, dependiendo de los plugins de plantilla habilitados.
Escenario de ataque hipotético
En un posible ataque, un actor malicioso podría aprovechar CVE-2026-2743 para sobrescribir la configuración del syslog del sistema ("/etc/syslog.conf") utilizando el acceso de escritura del usuario "nobody" a este archivo, lo que podría resultar en una shell inversa basada en Perl. Esto podría llevar a una toma de control completa del dispositivo SEPPMail, permitiendo al atacante leer todo el tráfico de correo y persistir indefinidamente en el gateway.
Un obstáculo significativo para lograr la ejecución remota de código es que el daemon syslogd solo vuelve a leer la configuración al recibir la señal SIGHUP. Syslogd es un daemon del sistema Linux responsable de escribir mensajes del sistema en archivos de registro o en la terminal de un usuario. Los investigadores explicaron que el dispositivo utiliza newsyslog para la rotación de registros, que se ejecuta cada 15 minutos a través de cron. Al aumentar el tamaño de los archivos de registro, como SEPPMaillog, que tiene un límite de 10,000 KB, se puede forzar una rotación y una posterior recarga de configuración. Esto se puede lograr enviando simplemente solicitudes web.
Estado de las correcciones
Aunque CVE-2026-44128 se ha solucionado en la versión 15.0.2.1 y CVE-2026-44126 fue abordada en la versión 15.0.3, las restantes vulnerabilidades han sido parcheadas en la versión 15.0.4. Este anuncio se produce semanas después de que SEPPMail lanzara actualizaciones para resolver otra falla crítica (CVE-2026-27441, CVSS 9.5) que permitía la ejecución arbitraria de comandos del sistema operativo.