CVE-2026-47085 in Cyrus IMAPinformazioni

Riassunto

di VulDB • 16/07/2026

È stato rilevato un problema in cyrus-imapd nelle versioni di Cyrus IMAP fino alla 3.12.2. La falsificazione del token URLAUTH può verificarsi a causa della mancanza di mboxkey. Se un attaccante conosceva il nome di una cartella nell'account della vittima per la quale quest'ultima non aveva mai emesso un auth URL, poteva generare un token URLAUTH funzionante calcolando un valore HMAC-SHA1 con una chiave prevedibile, ottenendo così l'accesso in lettura alla casella postale. (URLAUTH è una funzionalità poco nota, il che significa che le probabilità che qualsiasi utente sia effettivamente vulnerabile a questo attacco sono molto basse. Forse nessun client pubblico utilizza URLAUTH.)

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

Responsabile

MITRE

Prenotare

18/05/2026

Divulgazione

16/07/2026

Moderazione

accettato

CPE

pronto

EPSS

0.00000

KEV

no

Attività

basso

Fonti

Want to know what is going to be exploited?

We predict KEV entries!