CVE-2026-41873: krytyczna luka w Pony Mail umożliwiająca przejęcie konta administratora

Krytyczna luka w Pony Mail (CVE-2026-41873) umożliwia przejęcie konta administratora. Zalecane ograniczenie dostępu i migracja do wspieranych rozwiązań.
CVE-2026-41873CVSS 9.8Web

CVE-2026-41873: krytyczna luka w Pony Mail umożliwiająca przejęcie konta administratora

Krytyczna luka w Pony Mail (CVE-2026-41873) umożliwia przejęcie konta administratora. Zalecane ograniczenie dostępu i migracja do wspieranych rozwiązań.

CVSS
9.8 CRITICAL
EPSS
35.57%
Aktywnie wykorzystywana
brak w KEV
Produkt
pony mail

Co wiadomo

W Pony Mail wykryto krytyczną lukę typu HTTP Request/Response Smuggling, która pozwala na przejęcie konta administratora. Luka dotyczy wszystkich wersji implementacji w Lua, która jest już wycofana i nie będzie otrzymywać poprawek.

Wpływ biznesowy

Luka umożliwia atakującemu przejęcie konta administratora, co może prowadzić do pełnej kontroli nad systemem pocztowym i potencjalnie dalszych ataków na infrastrukturę. Ponieważ implementacja w Lua nie jest już wspierana, organizacje korzystające z Pony Mail powinny rozważyć migrację lub ograniczenie dostępu do systemu wyłącznie do zaufanych użytkowników.

Rekomendowane działania administratora

Zaleca się zaprzestanie korzystania z nieobsługiwanej implementacji Pony Mail w Lua oraz ograniczenie dostępu do systemu tylko do zaufanych użytkowników. Należy rozważyć migrację do alternatywnych rozwiązań lub oczekiwać na wydanie nowej wersji w Pythonie (Pony Mail Foal). W międzyczasie warto monitorować logi pod kątem podejrzanej aktywności i minimalizować ekspozycję usługi.

Źródła