CVE-2026-47085 in Cyrus IMAPinfo

Zusammenfassung

von VulDB • 16.07.2026

Es wurde ein Problem in cyrus-imapd von Cyrus IMAP bis Version 3.12.2 entdeckt. Eine Fälschung des URLAUTH-Tokens kann durch einen fehlenden mboxkey auftreten. Wenn ein Angreifer den Namen eines Ordners im Konto des Opfers kennt, für das der Opfer noch nie eine auth-URL ausgestellt hat, könnte er ein funktionierendes URLAUTH-Token fälschen, indem er einen HMAC-SHA1-Wert mit einem vorhersagbaren Schlüssel berechnet, was ihm Lesezugriff auf den Posteingang gewährt. (URLAUTH ist eine obskure Funktion, was bedeutet, dass die Wahrscheinlichkeit sehr gering ist, dass ein Benutzer tatsächlich für diesen Angriff anfällig ist. Vielleicht verwenden keine öffentlichen Clients URLAUTH.)

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

Zuständig

MITRE

Reservieren

18.05.2026

Veröffentlichung

16.07.2026

Moderieren

akzeptiert

Eintrag

VDB-379622

CPE

bereit

EPSS

0.00000

KEV

nein

Aktivitäten

very low

Quellen

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!