V
Сканер-ВС
ГлавнаяКаталогИсточникиCWECAPECATT&CKМеры защитыПродуктыВендорыДокументация
CVE-2026-0394
CVE
Средний

Когда dovecot был настроен на использование проходных файлов в домене, и они помещаются на один компонент пути выше /etc, или слэш был доба…

CVSS
5.3
Средний
EPSS
0.00
p33
Опубликовано
2026-01-01
Обновлено
2026-01-01
Описание

Когда dovecot был настроен на использование проходных файлов в домене, и они помещаются на один компонент пути выше /etc, или слэш был добавлен к разрешенным символам, прохождение пути может произойти, если компонент домена является частичным каталогом. Это позволяет непреднамеренно читать /etc/passwd (или какой-то другой путь, который заканчивается проходом). Если этот файл содержит пароли, он может быть использован для неправильной аутентификации, или если он используется, он может неожиданно заставить пользователей системы выглядеть действительными пользователями. Обновление до фиксированной версии или использование другой схемы аутентификации, которая не зависит от путей. В качестве альтернативы вы также можете убедиться, что файлы с проходом в домене находятся в другом месте, например /etc/dovecot/autth/%d. Никаких общедоступных эксплойтов не известно.

Теги · CWE
Без аутентификации
CWE-22
CAPEC-64
CAPEC-76
CAPEC-78
CAPEC-79
CAPEC-126
Затронутые продукты
Dovecot < 2.4.0Dovecot < 3.1.0
Вектор CVSS
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N
Хронология
2026-01-01
Опубликована
2026-01-01
Обновлена
Разбор CVSS 3.1
Вектор атаки
AV: N
Сеть (N)
Сложность атаки
AC: L
Низкая (L)
Требуемые привилегии
PR: N
Отсутствуют (N)
Взаимодействие с пользователем
UI: N
Отсутствует (N)
Область воздействия
S: U
Неизменная (U)
Воздействие на конфиденциальность
C: L
Низкое (L)
Воздействие на целостность
I: N
Отсутствует (N)
Воздействие на доступность
A: N
Отсутствует (N)
Индикаторы эксплуатации
EPSS
0.004 · p33
Известна эксплуатация (KEV)
Нет
Проверки Сканер-ВС
Проверок Сканер-ВС для этой уязвимости в базе пока нет.
Затронутые продукты
ПродуктВендорСтатус
Отслеживается
dovecotОтслеживается
dovecotОтслеживается
dovecot*Отслеживается
dovecotОтслеживается
dovecotОтслеживается
dovecotОтслеживается
dovecot-develОтслеживается
dovecot-develОтслеживается
dovecot-develОтслеживается
Источники данных
ALT
ANC
DEB
CVE