Vulnerabilità "Dead.Letter" in Exim consente esecuzione di codice da remoto, senza autenticazione (aggiornato: 12 maggio 2026, ore 23:14)
- a cura di: massimo.valenti
- Commenti:
- Letture:
- Aggiornato: 3 ore fa
- Pubblicato: 13/05/2026, 13:20
Autore umano, supporto AI
Gli articoli di TurboLab.it sono curati dagli utenti della nostra community, ma possono essere generati o migliorati tramite intelligenza artificiale.
Una vulnerabilità critica nel server di posta Exim - soprannominata "Dead.Letter" e tracciata come CVE-2026-45185 - consente l'esecuzione di codice da remoto senza alcuna autenticazione. La falla, di tipo use-after-free, colpisce il componente di parsing dei messaggi BDAT quando la connessione TLS è gestita da GnuTLS. La correzione è disponibile nella versione 4.99.3. Chi gestisce un server Exim in autonomia, su Linux o in ambienti cPanel/WHM, ha un solo compito urgente: aggiornare. Il difetto è sfruttabile con una configurazione praticamente "di serie".
Un singolo byte nel posto sbagliato
Federico Kirschbaum, responsabile del Security Lab di XBOW - piattaforma descritta come un sistema autonomo di test per la sicurezza informatica - ha scoperto e segnalato la vulnerabilità il primo maggio 2026, definendola «uno dei bug di più alto calibro» mai individuati in Exim. Il cuore del problema sta nell'interazione tra la chiusura di una sessione TLS e il meccanismo di ricezione dei dati binari tramite l'estensione SMTP CHUNKING (BDAT).
Il meccanismo di attacco è tanto elegante quanto preoccupante. Un client stabilisce una connessione TLS con il server Exim, avvia un trasferimento BDAT e poi invia un allarme TLS close_notify prima che il corpo del messaggio sia stato trasferito completamente. Subito dopo, invia un ultimo byte in chiaro sulla stessa connessione TCP. Questo innesca il difetto.
Kirschbaum ha spiegato la dinamica: «Durante la chiusura del TLS, Exim libera il proprio buffer di trasferimento - ma un wrapper annidato per la ricezione BDAT può ancora elaborare i byte in arrivo e finire per chiamare ungetc(), che scrive un singolo carattere (\n) nella regione di memoria già liberata. Quella scrittura di un solo byte finisce sui metadati dell'allocatore di Exim, corrompendone la struttura interna; l'exploit sfrutta poi quella corruzione per ottenere ulteriori primitive».
Tradotto: un attaccante non ha bisogno di credenziali né di una configurazione particolare sul server bersaglio. Gli basta aprire una connessione TLS e usare l'estensione BDAT. È esattamente il tipo di scenario che fa perdere il sonno agli amministratori di sistema.
Chi è vulnerabile (e chi no)
Le versioni di Exim colpite vanno dalla 4.97 fino alla 4.99.2 inclusa. C'è però una condizione precisa: la vulnerabilità riguarda esclusivamente le build compilate con l'opzione USE_GNUTLS=yes. Le installazioni che utilizzano OpenSSL come backend TLS non sono interessate.
Non è un dettaglio trascurabile: molte distribuzioni Linux offrono pacchetti Exim compilati con GnuTLS come scelta predefinita. Verificare quale libreria TLS sia in uso è quindi il primo passo concreto per capire se si è esposti.
Non esistono mitigazioni alternative alla patch. L'avviso ufficiale di Exim chiarisce che la correzione «assicura che lo stack di elaborazione dell'input venga resettato in modo pulito quando si riceve una notifica di chiusura TLS durante un trasferimento BDAT attivo, impedendo l'uso di puntatori non più validi». La versione corretta è la 4.99.3.
Attenzione doppia per chi usa cPanel
Exim è il server di posta predefinito negli ambienti cPanel/WHM, il che amplia notevolmente la superficie d'attacco. E qui si annida una trappola sottile: poco prima di CVE-2026-45185, erano state corrette quattro vulnerabilità distinte - CVE-2026-40684, CVE-2026-40685, CVE-2026-40686 e CVE-2026-40687 - con la versione 4.99.2 di Exim, integrate nelle versioni cPanel 136.0.7, 134.0.23, 118.0.64 e 110.0.112.
» Leggi: Vulnerabilità gravissima in cPanel e WHM: aggiornare immediatamente è obbligatorio (CVSS 9.8)
Chi ha diligentemente aggiornato per coprire quel primo gruppo di falle si ritrova comunque esposto a CVE-2026-45185, perché quest'ultima colpisce fino alla 4.99.2 inclusa. Serve un ulteriore aggiornamento alla 4.99.3. La falsa sensazione di essere in regola, in questo caso, è più pericolosa dell'ignoranza stessa.
Un copione già visto
Non è la prima volta che Exim si trova alle prese con un bug use-after-free nel demone SMTP legato ai comandi BDAT. Nel 2017, CVE-2017-16943 - valutata con un punteggio CVSS di 9.8 - presentava dinamiche simili: sfruttabile senza autenticazione, permetteva l'esecuzione di codice arbitrario tramite comandi BDAT appositamente costruiti.
CVE-2026-45185 ripropone lo stesso schema in una veste diversa. Il componente BDAT di Exim si conferma un'area del codice storicamente difficile da mettere in sicurezza, dove la gestione della memoria e le transizioni di stato del protocollo TLS continuano a produrre combinazioni insidiose.
Cosa fare adesso
Verificare se la propria installazione Exim usa GnuTLS. Controllare la versione in esecuzione. Aggiornare alla 4.99.3 senza indugi. Non esistono soluzioni temporanee né configurazioni difensive da applicare nell'attesa: l'unico rimedio è il codice corretto.
Per chi gestisce infrastrutture di posta in autonomia - e su Internet ce ne sono parecchie - questa vulnerabilità non ammette rimandi. Un server di posta esposto senza autenticazione, raggiungibile da chiunque sappia aprire una connessione TLS, con un exploit che richiede «quasi nessuna configurazione speciale» sul bersaglio: il margine per procrastinare è pari a zero.
Fonti: thehackernews.com, cisa.gov, support.cpanel.net
