CVE-2026-47085 in Cyrus IMAP
Sumário
de VulDB • 16/07/2026
Foi identificada uma vulnerabilidade em cyrus-imapd nas versões do Cyrus IMAP anteriores à 3.12.2. A falsificação de tokens URLAUTH pode ocorrer devido a um mboxkey ausente. Se um atacante conhecesse o nome de uma pasta na conta da vítima para a qual esta nunca tivesse emitido um auth URL, poderia forjar um token URLAUTH funcional calculando um valor HMAC-SHA1 com uma chave previsível, concedendo-lhe acesso de leitura à caixa postal. (URLAUTH é uma característica obscura, pelo que as probabilidades de qualquer utilizador ser realmente vulnerável a este ataque são muito baixas. Talvez nenhum cliente público utilize o URLAUTH.)
If you want to get the best quality for vulnerability data then you always have to consider VulDB.