CVE-2026-41873: krytyczna luka w Pony Mail umożliwiająca przejęcie konta administratora
Krytyczna luka w Pony Mail (CVE-2026-41873) umożliwia przejęcie konta administratora. Zalecane ograniczenie dostępu i migracja do wspieranych rozwiązań.
- CVSS
- 9.8 CRITICAL
- EPSS
- 35.57%
- Aktywnie wykorzystywana
- brak w KEV
- Produkt
- pony mail
Co wiadomo
W Pony Mail wykryto krytyczną lukę typu HTTP Request/Response Smuggling, która pozwala na przejęcie konta administratora. Luka dotyczy wszystkich wersji implementacji w Lua, która jest już wycofana i nie będzie otrzymywać poprawek.
Wpływ biznesowy
Luka umożliwia atakującemu przejęcie konta administratora, co może prowadzić do pełnej kontroli nad systemem pocztowym i potencjalnie dalszych ataków na infrastrukturę. Ponieważ implementacja w Lua nie jest już wspierana, organizacje korzystające z Pony Mail powinny rozważyć migrację lub ograniczenie dostępu do systemu wyłącznie do zaufanych użytkowników.
Rekomendowane działania administratora
Zaleca się zaprzestanie korzystania z nieobsługiwanej implementacji Pony Mail w Lua oraz ograniczenie dostępu do systemu tylko do zaufanych użytkowników. Należy rozważyć migrację do alternatywnych rozwiązań lub oczekiwać na wydanie nowej wersji w Pythonie (Pony Mail Foal). W międzyczasie warto monitorować logi pod kątem podejrzanej aktywności i minimalizować ekspozycję usługi.