CVE-2026-41873: Уразливість HTTP Request Smuggling у Pony Mail
Критична уразливість HTTP Request Smuggling у Lua-версії Pony Mail дозволяє захоплення адміністративного облікового запису. Рекомендується обмежити доступ або перейти на альтернативи.
- CVSS
- 9.8 CRITICAL
- EPSS
- 35.57%
- Активно використовується
- немає в KEV
- Продукт
- pony mail
Що відомо
Виявлено критичну уразливість HTTP Request Smuggling у Lua-версії Pony Mail, що дозволяє захоплення адміністративного облікового запису. Проблема не торкається Python-реалізації Pony Mail Foal, яка наразі не випущена.
Бізнес-вплив
Ця уразливість може призвести до повного контролю над адміністративним обліковим записом, що ставить під загрозу безпеку поштової системи. Оскільки Lua-версія більше не підтримується, відсутні офіційні оновлення для усунення проблеми, що ускладнює захист інфраструктури.
Рекомендовані дії адміністратора
Рекомендується обмежити доступ до інстанції Pony Mail лише довіреним користувачам або розглянути можливість переходу на альтернативні рішення. Перевірте журнали на ознаки зловмисної активності та оцініть ризики, пов’язані з експлуатацією цієї уразливості.