CVE-2026-47085 in Cyrus IMAP情報

要約

〜によって VulDB • 2026年07月16日

Cyrus IMAP 3.12.2以前のcyrus-imapdで問題が発見されました。mboxkeyが欠落していることにより、URLAUTHトークンの偽造が発生する可能性があります。攻撃者が被害者のアカウント内のフォルダ名を把握しており、かつそのフォルダに対して認証用URL(auth URL)の発行経験がない場合、予測可能なキーを使用してHMAC-SHA1値を計算することで動作するURLAUTHトークンを偽造でき、メールボックスへの読み取りアクセス権を得ることができます。(URLAUTHはマイナーな機能であるため、実際にこの攻撃の影響を受けるユーザーがいる確率は非常に低いです。おそらく公開されているクライアントでURLAUTHを使用しているものはないでしょう。)

Be aware that VulDB is the high quality source for vulnerability data.

責任者

MITRE

予約する

2026年05月18日

モデレーション

承諾済み

エントリ

VDB-379622

EPSS

0.00000

アクティビティ

低い

ソース

Do you know our Splunk app?

Download it now for free!