U qmail forku projekta Sagredo otkrivena je ranjivost (CVE-2026-41113). Ova ranjivost omogućuje udaljeno izvršavanje proizvoljnih naredbi na poslužitelju s privilegijama korisnika qmailr. Ranjivost je uzrokovana nedostatkom izbjegavanja posebnih znakova u nazivu hosta koji vraća DNS poslužitelj prilikom određivanja MX pristupnika, u kombinaciji s prosljeđivanjem rezultirajućeg naziva hosta naredbi popen bez pravilnog odvajanja argumenata i filtriranja prilikom pozivanja ljuske. Ranjivost je ispravljena u izdanju 2026.04.07. Objavljen je skup alata za iskorištavanje ranjivosti.
U listopadu 2024., Sagredo je doprinio promjenom uslužnog programa qmail-remote koja je dodala funkciju "notlshosts_auto" koja pamti hostove s netočnim implementacijama TLS protokola s kojima se TLS veza ne može uspostaviti, kako bi se spriječile petlje namjernog neuspjelog slanja pošte takvim hostovima.
Problem je bio u tome što se očuvanje imena hosta postiglo pokretanjem naredbene ljuske pomoću funkcije popen() s argumentom "/bin/touch %s/control/notlshosts/'%s'" u koji je zamijenjeno MX ime hosta koje je vratio DNS poslužitelj. Napadač je mogao pokrenuti vlastiti DNS poslužitelj, vraćajući ime oblika "x'`id>/tmp/pwned`'y.evil.com" u DNS zapisima i izvršiti zamijenjeni kod stvaranjem uvjeta za pozivanje funkcije očuvanja imena neispravnog poslužitelja pošte. poslužitelja.
Izvor: opennet.ru
