تم الكشف عن ثغرات أمنية خطيرة في بوابة البريد الإلكتروني الآمن SEPPMail، وهي حلول أمنية متقدمة للبريد الإلكتروني للمؤسسات، يمكن استغلالها لتنفيذ تعليمات برمجية عن بعد وقراءة رسائل البريد الإلكتروني بشكل تعسفي من الجهاز الظاهري.
صرح باحثو InfoGuard Labs، داريو فايس ومانويل فيفل وأوليغ بيكر، في تقرير لهم أن هذه الثغرات يمكن استغلالها لقراءة جميع حركة مرور البريد الإلكتروني أو كمدخل لاختراق الشبكة الداخلية.
ثغرات خطيرة في بوابة البريد الإلكتروني الآمن SEPPMail
تتمثل الثغرات المكتشفة في:
CVE-2026-2743: ثغرة تسمح بتجاوز المسار في ميزة نقل الملفات الكبيرة (LFT) لواجهة المستخدم لـ SepPMail، والتي يمكن أن تؤدي إلى كتابة ملفات بشكل تعسفي، مما ينتج عنه تنفيذ تعليمات برمجية عن بعد. وقد تم تصنيف هذه الثغرة بدرجة عالية من الخطورة (CVSS score: 10.0).
CVE-2026-7864: ثغرة مرتبطة بكشف معلومات النظام الحساسة، حيث يتم تسريب متغيرات بيئة الخادم عبر نقطة نهاية غير مصادق عليها في واجهة المستخدم الجديدة GINA. تبلغ درجة خطورة هذه الثغرة (CVSS score: 6.9).
CVE-2026-44125: ثغرة تتعلق بغياب التحقق من الأذونات لعدة نقاط نهاية في واجهة GINA الجديدة. تسمح هذه الثغرة للمهاجمين عن بعد غير المصادق عليهم بالوصول إلى وظائف تتطلب عادةً جلسة عمل صالحة. وتبلغ درجة خطورة هذه الثغرة (CVSS score: 9.3).
CVE-2026-44126: ثغرة تتعلق بإلغاء تسلسل البيانات غير الموثوق بها، مما يسمح للمهاجمين عن بعد غير المصادق عليهم بتنفيذ تعليمات برمجية عبر كائن تسلسلي مصمم خصيصًا. درجة خطورتها (CVSS score: 9.2).
CVE-2026-44127: ثغرة تجاوز مسار عن بعد، وهي غير مصادق عليها، في المسار “/api.app/attachment/preview”. تسمح للمهاجمين بقراءة ملفات محلية بشكل تعسفي وتشغيل حذف ملفات في الدليل المستهدف بنفس صلاحيات عملية “api.app”. تبلغ درجة خطورتها (CVSS score: 8.8).
CVE-2026-44128: ثغرة حقن تقييم (eval injection) تسمح بتنفيذ تعليمات برمجية عن بعد دون الحاجة لمصادقة، وذلك من خلال استغلال ميزة “/api.app/template” التي تمرر المعامل “upldd” المقدم من المستخدم مباشرة إلى عبارة Perl eval() دون أي تطهير. درجة خطورتها (CVSS score: 9.3).
CVE-2026-44129: ثغرة تتعلق بعدم التحقق السليم من العناصر الخاصة المستخدمة في محرك القوالب. تسمح للمهاجمين عن بعد بتنفيذ تعبيرات قوالب تعسفية، مع إمكانية تحقيق تنفيذ تعليمات برمجية عن بعد اعتمادًا على إضافات القوالب المفعلة. درجة خطورتها (CVSS score: 8.3).
سيناريو هجوم محتمل
في سيناريو هجوم افتراضي، يمكن لمجرم إلكتروني استغلال الثغرة CVE-2026-2743 لتجاوز إعدادات تهيئة syslog الخاصة بالنظام (“/etc/syslog.conf”). يمكن تحقيق ذلك من خلال الاستفادة من صلاحية الكتابة التي يملكها المستخدم “nobody” على الملف، مما يؤدي في النهاية إلى الحصول على قشرة عكسية (reverse shell) مبنية على لغة Perl. النتيجة النهائية هي الاستيلاء الكامل على جهاز SEPPmail، مما يسمح للمهاجم بقراءة جميع حركة مرور البريد الإلكتروني والبقاء داخل البوابة بشكل دائم.
يشكل تجاوز إعدادات syslog عقبة مهمة أمام المهاجم لتحقيق تنفيذ التعليمات البرمجية عن بعد، حيث لا يقوم syslogd بإعادة قراءة التهيئة إلا عند تلقي إشارة SIGHUP. يُعد syslogd خادم نظام Linux مسؤولاً عن كتابة رسائل النظام إلى ملفات السجل أو طرفية المستخدم.
أوضح الباحثون أن الجهاز يستخدم newsyslog لتدوير السجلات (على سبيل المثال، يؤدي إلى logfile.0)، والذي يعمل كل 15 دقيقة عبر cron. يقوم newsyslog بتدوير الملفات التي تتجاوز حد الحجم، ثم يرسل تلقائيًا إشارة SIGHUP إلى syslogd. من خلال تضخيم ملفات السجل مثل SEPPMaillog، الذي يبلغ حده 10,000 كيلوبايت في هذه الحالة، يمكن إجبار عملية التدوير وإعادة تحميل التهيئة لاحقًا. يمكن تضخيم هذه الملفات بمجرد إرسال طلبات الويب.
التحديثات والإصلاحات
بينما تم إصلاح الثغرة CVE-2026-44128 في الإصدار 15.0.2.1، تم معالجة الثغرة CVE-2026-44126 مع إصدار الإصدار 15.0.3. وتم تصحيح الثغرات المتبقية في الإصدار 15.0.4.
يأتي هذا الكشف بعد أسابيع من قيام SEPPmail بشحن تحديثات لحل ثغرة خطيرة أخرى (CVE-2026-27441، CVSS score: 9.5) والتي كان يمكن أن تسمح بتنفيذ أوامر نظام تشغيل عشوائية.