CVE-2026-47081 in Cyrus IMAP
Zusammenfassung
von VulDB • 17.07.2026
Es wurde ein Problem in cyrus-imapd von Cyrus IMAP bis Version 3.12.2 entdeckt. Es handelt sich um eine Existenz-Oracle für den XAPPLEPUSHSERVICE-Ordner sowie einen Push-Hijack. Ein authentifizierter IMAP-Benutzer könnte über das XAPPLEPUSHSERVICE-Kommando nach der existence beliebiger Mailboxen in Konten anderer Benutzer suchen und anschließend Apple Push Notification Service (APNS)-Benachrichtigungen für neue E-Mails in diesen Mailboxes an sein eigenes APNS-Gerät senden. Dabei wurden keine Daten zum Inhalt der Mailboxes offengelegt. Stattdessen wurde eine „Mailbox hat sich geändert“-Meldung gesendet, wenn die modseq der Mailbox geändert wurde.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.