Usa ka kahuyangan (CVE-2026-41113) ang nadiskobrehan sa qmail fork sa proyekto sa Sagredo. Kini nga kahuyangan nagtugot sa remote nga pagpatuman sa arbitraryong mga sugo sa server gamit ang mga pribilehiyo sa qmailr user. Ang kahuyangan gipahinabo sa kakulang sa pag-eskapo sa mga espesyal nga karakter sa hostname nga gibalik sa DNS server sa pagtino sa MX gateway, inubanan sa pagpasa sa resulta nga hostname ngadto sa popen command nga walay hustong pagbulag sa argumento ug pagsala sa dihang gigamit ang shell. Ang kahuyangan giayo sa release 2026.04.07. Usa ka toolkit alang sa pagpahimulos sa kahuyangan ang gipatik na.
Niadtong Oktubre 2024, si Sagredo mitampo og usa ka pagbag-o sa qmail-remote utility nga midugang og "notlshosts_auto" function, nga naghinumdom sa mga host nga adunay sayop nga TLS protocol implementations diin ang usa ka TLS connection dili matukod, aron malikayan ang mga loop sa tinuyo nga pagkapakyas sa pagpadala sa mail ngadto sa maong mga host.
Ang problema kay ang pagpreserbar sa hostname nahimo pinaagi sa paglansad sa usa ka command shell gamit ang popen() function nga adunay argumento nga "/bin/touch %s/control/notlshosts/'%s'" diin gipulihan ang MX hostname nga gibalik sa DNS server. Ang usa ka tig-atake mahimong maglansad sa ilang kaugalingong DNS server, nga mobalik og ngalan nga porma nga "x'`id>/tmp/pwned`'y.evil.com" sa mga rekord sa DNS, ug ipatuman ang gipulihan nga code pinaagi sa paghimo og mga kondisyon alang sa pagtawag sa function sa pagpreserbar sa ngalan sa depektoso nga mail server. server.
Source: opennet.ru
