Plateforme
linux
Composant
dovecot
Corrigé dans
3.1.1
2.4.1
CVE-2026-24031 est une vulnérabilité dans Dovecot permettant un contournement d'authentification SQL si authusernamechars est effacé. Cela permet de contourner l'authentification et d'énumérer les utilisateurs. Les versions affectées sont 0–3.1.0. Pour corriger, il est recommandé de mettre à jour Dovecot vers une version corrigée ou de ne pas effacer authusernamechars.
La CVE-2026-24031 affecte Dovecot Pro, un serveur de messagerie populaire. La vulnérabilité réside dans son système d'authentification basé sur SQL. Si un administrateur efface le paramètre authusernamechars, l'authentification peut être contournée, permettant un accès non autorisé aux comptes de messagerie et l'énumération des utilisateurs. Cela signifie qu'un attaquant pourrait potentiellement accéder à des e-mails confidentiels, compromettre la vie privée des utilisateurs et obtenir des informations sur la structure de la base de données des utilisateurs de Dovecot. La gravité de cette vulnérabilité est notée 7,7 sur l'échelle CVSS, indiquant un risque important. Bien qu'aucun exploit public ne soit connu, la possibilité d'exploitation est réelle si le paramètre authusernamechars a été modifié.
L'exploitation de cette vulnérabilité nécessite un accès au serveur Dovecot et la capacité de modifier sa configuration. Un attaquant pourrait tenter d'effacer authusernamechars et ensuite tenter de s'authentifier avec des noms d'utilisateur contenant des caractères non valides, ce qui pourrait permettre de contourner l'authentification. L'énumération des utilisateurs devient possible en testant différents noms d'utilisateur et en observant les réponses du serveur. L'absence d'exploits publics connus ne diminue pas le risque, car un attaquant ayant connaissance de la vulnérabilité pourrait développer ses propres outils d'exploitation. Une configuration incorrecte de Dovecot est une cause fréquente de ce type de problème de sécurité.
Organizations utilizing Dovecot for email authentication, particularly those with legacy configurations or systems where the authusernamechars setting has been inadvertently cleared, are at significant risk. Shared hosting environments where multiple users share the same Dovecot instance are also particularly vulnerable, as a compromise of one user could potentially lead to access for others.
• linux / server:
journalctl -u dovecot -g 'auth_username_chars' | grep -i 'error' -i 'warning'• linux / server:
ps aux | grep dovecot | grep -i 'auth_username_chars'• generic web: Use curl to test the authentication endpoint and observe any unusual behavior or error messages related to SQL queries.
disclosure
Statut de l'Exploit
EPSS
0.06% (percentile 20%)
CISA SSVC
Vecteur CVSS
L'atténuation principale pour la CVE-2026-24031 est d'éviter d'effacer le paramètre authusernamechars. Ce paramètre définit les caractères autorisés dans les noms d'utilisateur et sa suppression affaiblit considérablement la sécurité du système. Si l'effacement est inévitable pour des raisons spécifiques, il est fortement recommandé de mettre à niveau Dovecot Pro vers la dernière version disponible, car les développeurs pourraient avoir implémenté des correctifs. Surveiller les journaux de Dovecot à la recherche de tentatives d'authentification suspectes peut également aider à détecter et à prévenir les attaques. Un examen approfondi de la configuration de Dovecot est essentiel pour la sécurité du serveur.
No borre la configuración auth_username_chars. Si esto no es posible, instale la última versión corregida de Dovecot. Consulte la documentación del proveedor para obtener más detalles sobre la actualización.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
Dovecot est un serveur de messagerie open source largement utilisé pour fournir un accès IMAP et POP3 aux comptes de messagerie.
Ce paramètre définit les caractères autorisés dans les noms d'utilisateur, limitant les vecteurs d'attaque potentiels et empêchant l'injection de caractères malveillants.
Mettez immédiatement à niveau Dovecot Pro vers la dernière version disponible. Si une mise à niveau n'est pas possible immédiatement, envisagez de rétablir le paramètre à sa valeur par défaut.
Examinez la configuration de Dovecot pour vous assurer que authusernamechars n'est pas vide. Consultez la documentation de Dovecot pour obtenir des instructions détaillées.
Vous pouvez trouver plus d'informations sur les bases de données de vulnérabilités telles que le NVD (National Vulnerability Database) et sur les avis de sécurité de Dovecot.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.