CVE-2026-45185:Exim MTA 未驗證遠端程式碼執行——TLS 關閉時的 Use-After-Free
XBOW Security · 2026-05-12
XBOW 資安研究團隊在 2026 年五月十二日揭露 CVE-2026-45185,一個存在於 Exim MTA(郵件傳輸代理)的未驗證遠端程式碼執行(unauthenticated RCE)漏洞,影響版本 4.97(Debian 系列發行版,包含 Ubuntu 24.04 LTS 的出廠預設版本)。漏洞已在公開揭露前由維護者修補。
漏洞機制
漏洞發生在 GnuTLS 作為 TLS 傳輸層時的連線關閉序列。Exim 在 TLS 關閉時提前釋放其 TLS 傳輸緩衝區,但一個處理 BDAT(RFC 3030 CHUNKING 擴充)的巢狀接收包裝器(receive wrapper)繼續處理傳入位元組。這個包裝器可以呼叫 ungetc(),將單一換行字元寫入已釋放的記憶體區域。
一個位元組的寫入損壞了 Exim 池狀記憶體分配器(pool allocator)的 storeblock header。攻擊者可以利用這個損壞來膨脹記憶體池的大小欄位,在後續的記憶體分配操作中達成任意記憶體覆寫,最終獲得以 Exim 執行使用者身份(通常為 exim 或 mail)執行任意程式碼的能力。整個攻擊鏈不需要任何帳號憑證——只需建立 SMTP 連線並在 TLS 關閉期間傳送 BDAT chunk 即可觸發。
受影響版本
- Exim 4.97(Ubuntu 24.04 LTS / Debian Bookworm 預設安裝)
- 僅在使用
GnuTLS作為 TLS 函式庫時可觸發(不影響 OpenSSL 構建) - 需要啟用 CHUNKING 擴充(大多數發行版預設啟用)
修補與緩解
- 漏洞於 2026-05-01 報告,2026-05-12 協調揭露,修補程式已在發布前整合至發行版更新
- Ubuntu 24.04 LTS 與 Debian Bookworm 已推送安全更新,使用
apt-get update && apt-get upgrade exim4安裝 - 短期緩解:若無法立即更新,停用 CHUNKING 擴充(
chunking_advertise_hosts =設為空)可防止觸發路徑 - 確認 TLS 函式庫:以
exim -bV檢查輸出是否包含GnuTLS;OpenSSL 構建不受影響
原始來源:XBOW Blog
dnsmasq 六個 CVE 同步揭露:DNS 快取污染至 DoS,影響 2.91/2.92 版
dnsmasq-discuss mailing list · 2026-05-13
dnsmasq 專案在 2026 年五月十三日協調揭露六個安全漏洞(CVE-2026-2291、CVE-2026-4890、CVE-2026-4891、CVE-2026-4892、CVE-2026-4893、CVE-2026-5172),由 CERT 協助協調揭露流程。dnsmasq 廣泛部署於家庭路由器(OpenWrt、DD-WRT)、Linux 桌面的本機 DNS 解析(NetworkManager 預設)以及容器基礎設施(Docker 與 Kubernetes 節點的 DNS)。
漏洞機制
根據 dnsmasq 官方 CVE 目錄(thekelleys.org.uk/dnsmasq/CVE/),受影響的主要版本為 2.91 和 2.92。CVE-2026-4890 明確標示影響 dnsmasq 2.91 和 2.92,是六個漏洞中唯一在目錄中有版本資訊的條目;其餘五個漏洞的技術細節(類型、CVSS 分數、受影響版本詳情)包含在各自的 diff 檔案中,CERT 在揭露通知中僅描述為「嚴重安全漏洞(serious security vulnerabilities)」。依據 dnsmasq 的歷史漏洞模式(DNSpooq 2020 年同時揭露七個漏洞),此類批次揭露通常包含快取污染、緩衝區溢位和 DoS 等多種類型的漏洞。
修補與緩解
- 修補程式和完整 diff 檔案發布於
https://thekelleys.org.uk/dnsmasq/CVE/ - 主要 Linux 發行版(Debian、Ubuntu、Fedora、SUSE、AlmaLinux)已在 2026-05-12 的安全更新中包含修補
- OpenWrt 與 DD-WRT 路由器韌體更新時程由各平台自行決定,嵌入式裝置可能存在較長的修補延遲
- 緊急緩解:啟用 DNSSEC 驗證(
dnssec選項)可緩解部分快取污染類型的漏洞 - 以
dnsmasq --version確認版本,若輸出為 2.91 或 2.92 應優先更新
SillyTavern GHSA-886q 路徑穿越(CVSS 9.1):單一請求刪除整個擴充套件目錄
GitHub Security Advisories · 2026-05-12
GitHub 在 2026 年五月十二日發布針對 sillytavern(npm)的嚴重路徑穿越漏洞 GHSA-886q-f44j-h6wh(CVE-2026-44650,CVSS 9.1)。影響版本 ≤ 1.17.0,修補版本為 1.18.0。
漏洞機制
/api/extensions/delete 端點的驗證邏輯在清理(sanitization)之前執行,且接受 "." 作為合法的 extensionName 值。sanitize-filename 函式庫在接收 "." 後將其轉換為空字串;path.join(basePath, "") 回傳的是 basePath 本身而非子目錄;後續的 fs.promises.rm(basePath, { recursive: true }) 因此遞迴刪除整個擴充套件目錄。這個問題同時影響 /delete、/update、/version、/branches、/switch 等多個端點。預設設定下不需要任何驗證,攻擊者以單一 HTTP 請求即可永久摧毀所有已安裝的第三方擴充套件。同日揭露的三個其他 SillyTavern 漏洞還包括 CORS 代理 SSRF(GHSA-ccfq)、反射型 XSS(GHSA-xc4x)以及 SSO Header 注入認證繞過(GHSA-gxx6,CVSS Critical)。
修補與緩解
- 更新至 SillyTavern
1.18.0(修補版本) - 若無法立即更新,限制 SillyTavern 服務僅在 localhost 上監聽(預設行為),阻止外部網路存取
- 驗證順序修復:在 sanitization 完成後再執行合法性驗證