Уразливість обходу шляху в SEPPmail Secure Email Gateway до версії 15.0.4

Виявлено критичну уразливість обходу шляху в SEPPmail Secure Email Gateway до 15.0.4, що дозволяє читати та видаляти файли без автентифікації.
CVE-2026-44127CVSS 8.8General

Уразливість обходу шляху в SEPPmail Secure Email Gateway до версії 15.0.4

Виявлено критичну уразливість обходу шляху в SEPPmail Secure Email Gateway до 15.0.4, що дозволяє читати та видаляти файли без автентифікації.

CVSS
8.8 HIGH
EPSS
96.45%
Активно використовується
немає в KEV
Продукт
-

Що відомо

У SEPPmail Secure Email Gateway до версії 15.0.4 виявлено уразливість обходу шляху в параметрі identifier API /api.app/attachment/preview, що дозволяє віддаленим зловмисникам читати довільні локальні файли та видаляти файли в цільовій директорії з правами процесу api.app.

Бізнес-вплив

Ця уразливість може призвести до компрометації конфіденційних даних через несанкціонований доступ до файлів, а також до втрати даних через видалення файлів. Власники інфраструктури та ІТ-оператори повинні враховувати високий рівень ризику, оскільки зловмисники можуть виконувати ці дії без автентифікації, що ставить під загрозу цілісність і доступність системи.

Рекомендовані дії адміністратора

Рекомендується негайно перевірити наявність оновлень від виробника та застосувати патчі до версії 15.0.4 або новіші. Якщо оновлення недоступні, слід обмежити доступ до API, провести аудит логів на предмет підозрілої активності та мінімізувати права процесу api.app. Важливо також впровадити моніторинг і пріоритезувати усунення цієї уразливості у планах безпеки.

Джерела