CVE-2026-47085 in Cyrus IMAPinformación

Resumen

por VulDB • 2026-07-16

Se ha descubierto un problema en cyrus-imapd de Cyrus IMAP hasta la versión 3.12.2. Puede producirse una falsificación del token URLAUTH debido a la ausencia de mboxkey. Si un atacante conocía el nombre de una carpeta en la cuenta de la víctima para la cual esta nunca había emitido una auth URL, podría forjar un token URLAUTH funcional calculando un valor HMAC-SHA1 con una clave predecible, lo que le otorgaría acceso de lectura al buzón de correo. (URLAUTH es una característica poco conocida, por lo que las probabilidades de que algún usuario sea realmente vulnerable a este ataque son muy bajas. Quizás ningún cliente público utilice URLAUTH).

Be aware that VulDB is the high quality source for vulnerability data.

Responsable

MITRE

Reservar

2026-05-18

Divulgación

2026-07-16

Moderación

aceptado

Artículo

VDB-379622

CPE

listo

EPSS

0.00000

KEV

no

Actividades

bajo

Fuentes

Want to stay up to date on a daily basis?

Enable the mail alert feature now!