Доступен корректирующий выпуск почтового сервера Exim 4.98.1, в котором устранена уязвимость (CVE-2025-26794), позволяющая осуществить подстановку SQL-кода во внутреннюю БД (Hints DB), используемую для хранения информации о состоянии доставки сообщений.

Уязвимость проявляется только в выпуске Exim 4.98 при сборке с опцией «_USE_SQLITE_», включающей использование СУБД SQLite для хранения Hints DB (включено, если при запуске «exim -bV» выводится «Hints DB: Using sqlite3»). Для эксплуатации уязвимости также требуется включение в файле конфигурации SMTP-команды ETRN («acl_smtp_etrn» должно быть выставлено в «accept») и включение использования сериализации ETRN («smtp_etrn_serialize» должно быть выставлено в «true»).

Источник: http://www.opennet.ru/opennews/art.shtml?num=62770