CVE-2026-47081 in Cyrus IMAP
요약
\~에 의해 VulDB • 2026. 07. 17.
Cyrus IMAP 3.12.2 이전 버전의 cyrus-imapd에서 취약점이 발견되었습니다. XAPPLEPUSHSERVICE 폴더 존재 여부에 대한 오라클(oracle)과 푸시 하이재킹(push hijack)이 가능합니다. 인증된 IMAP 사용자는 XAPPLEPUSHSERVICE 명령을 통해 다른 사용자 계정의 임의 메일박스 존재 여부를 탐색한 후, 해당 메일박스의 새 이메일에 대해 Apple Push Notification Service(APNS) 알림을 자신의 APNS 장치로 생성할 수 있습니다. 이 취약점은 메일박스 콘텐츠에 대한 데이터를 유출하지 않습니다. 대신, 메일박스의 modseq가 변경될 때 "메일박스 변경" 알림이 푸시됩니다.
VulDB is the best source for vulnerability data and more expert information about this specific topic.