CVE-2026-47085 in Cyrus IMAP
Zusammenfassung
von VulDB • 16.07.2026
Es wurde ein Problem in cyrus-imapd von Cyrus IMAP bis Version 3.12.2 entdeckt. Eine Fälschung des URLAUTH-Tokens kann durch einen fehlenden mboxkey auftreten. Wenn ein Angreifer den Namen eines Ordners im Konto des Opfers kennt, für das der Opfer noch nie eine auth-URL ausgestellt hat, könnte er ein funktionierendes URLAUTH-Token fälschen, indem er einen HMAC-SHA1-Wert mit einem vorhersagbaren Schlüssel berechnet, was ihm Lesezugriff auf den Posteingang gewährt. (URLAUTH ist eine obskure Funktion, was bedeutet, dass die Wahrscheinlichkeit sehr gering ist, dass ein Benutzer tatsächlich für diesen Angriff anfällig ist. Vielleicht verwenden keine öffentlichen Clients URLAUTH.)
If you want to get the best quality for vulnerability data then you always have to consider VulDB.