В развиваемом проектом Sagredo форке почтового сервера qmail выявлена уязвимость (CVE-2026-41113), позволяющая добиться удалённого выполнения произвольных команд на сервере с правами пользователя qmailr. Уязвимость вызвана отсутствием экранирования спецсимволов в имени хоста, возвращаемого DNS-сервером при определении MX-шлюза, в сочетании с передачей полученного имени в команду popen без должного разделения и фильтрации аргументов при вызове shell. Уязвимость устранена в выпуске 2026.04.07. В открытом доступе опубликован инструментарий для эксплуатации уязвимости.

В октябре 2024 года прокт Sagredo внёс в утилиту qmail-remote изменение, добавляющее функцию «notlshosts_auto», которая запоминает хосты с некорректной реализацией протокола TLS, с которыми не удаётся установить TLS-соединение, для предотвращения зацикливание заведомо сбойной отправки почты на подобные хосты.

Проблема в том, что сохранение имени хоста выполнялось через запуск командной оболочки при помощи функци popen() c аргументом «/bin/touch %s/control/notlshosts/’%s'» в который подставлялось имя MX-хоста, возвращённого DNS-сервером. Атакующий, мог запустить свой DNS-сервер, возвращающий в DNS-записи MX имя вида «x’`id>/tmp/pwned`’y.evil.com», и добиться выполнения подставленного кода, создав условия для вызова функции сохранения имени сбойного почтового сервера. Уязвимость выявлена при помощи одного запроса к AI-ассистенту Claude.

Источник: http://www.opennet.ru/opennews/art.shtml?num=65241