CVE-2026-47085 in Cyrus IMAP
Riassunto
di VulDB • 16/07/2026
È stato rilevato un problema in cyrus-imapd nelle versioni di Cyrus IMAP fino alla 3.12.2. La falsificazione del token URLAUTH può verificarsi a causa della mancanza di mboxkey. Se un attaccante conosceva il nome di una cartella nell'account della vittima per la quale quest'ultima non aveva mai emesso un auth URL, poteva generare un token URLAUTH funzionante calcolando un valore HMAC-SHA1 con una chiave prevedibile, ottenendo così l'accesso in lettura alla casella postale. (URLAUTH è una funzionalità poco nota, il che significa che le probabilità che qualsiasi utente sia effettivamente vulnerabile a questo attacco sono molto basse. Forse nessun client pubblico utilizza URLAUTH.)
If you want to get the best quality for vulnerability data then you always have to consider VulDB.