प्लेटफ़ॉर्म
linux
घटक
dovecot
में ठीक किया गया
3.1.1
2.4.1
CVE-2026-24031, Dovecot में एक SQL आधारित प्रमाणीकरण बाईपास भेद्यता है। व्यवस्थापक द्वारा authusernamechars को साफ़ करने पर यह भेद्यता किसी भी उपयोगकर्ता के लिए प्रमाणीकरण को बायपास करने और उपयोगकर्ता गणना की अनुमति देती है। प्रभावित संस्करण 0-3.1.0 हैं। इस समस्या को ठीक करने के लिए नवीनतम संस्करण स्थापित करें या authusernamechars को साफ़ न करें।
CVE-2026-24031 Dovecot Pro को प्रभावित करता है, जो एक लोकप्रिय मेल सर्वर है। यह भेद्यता इसके SQL-आधारित प्रमाणीकरण प्रणाली में मौजूद है। यदि कोई व्यवस्थापक authusernamechars सेटिंग को साफ़ करता है, तो प्रमाणीकरण को बायपास किया जा सकता है, जिससे मेल खातों तक अनधिकृत पहुंच और उपयोगकर्ता गणना की अनुमति मिलती है। इसका मतलब है कि एक हमलावर गोपनीय ईमेल तक पहुंच प्राप्त कर सकता है, उपयोगकर्ताओं की गोपनीयता से समझौता कर सकता है और Dovecot उपयोगकर्ता डेटाबेस संरचना के बारे में जानकारी प्राप्त कर सकता है। इस भेद्यता की गंभीरता को CVSS पैमाने पर 7.7 के रूप में रेट किया गया है, जो एक महत्वपूर्ण जोखिम दर्शाता है। हालांकि कोई सार्वजनिक रूप से उपलब्ध शोषण ज्ञात नहीं हैं, यदि authusernamechars सेटिंग को संशोधित किया गया है, तो शोषण की संभावना वास्तविक है।
इस भेद्यता का शोषण करने के लिए Dovecot सर्वर तक पहुंच और इसके कॉन्फ़िगरेशन को संशोधित करने की क्षमता की आवश्यकता होती है। एक हमलावर authusernamechars को साफ़ करने का प्रयास कर सकता है और फिर अमान्य वर्णों वाले उपयोगकर्ता नाम के साथ प्रमाणीकरण करने का प्रयास कर सकता है, जिससे प्रमाणीकरण को बायपास किया जा सकता है। विभिन्न उपयोगकर्ता नामों का परीक्षण करके और सर्वर की प्रतिक्रियाओं का निरीक्षण करके उपयोगकर्ता गणना संभव हो जाती है। सार्वजनिक रूप से ज्ञात शोषण की कमी जोखिम को कम नहीं करती है, क्योंकि भेद्यता से परिचित एक हमलावर अपने स्वयं के शोषण उपकरण विकसित कर सकता है। Dovecot का गलत कॉन्फ़िगरेशन इस प्रकार की सुरक्षा समस्या का एक सामान्य कारण है।
Organizations utilizing Dovecot for email authentication, particularly those with legacy configurations or systems where the authusernamechars setting has been inadvertently cleared, are at significant risk. Shared hosting environments where multiple users share the same Dovecot instance are also particularly vulnerable, as a compromise of one user could potentially lead to access for others.
• linux / server:
journalctl -u dovecot -g 'auth_username_chars' | grep -i 'error' -i 'warning'• linux / server:
ps aux | grep dovecot | grep -i 'auth_username_chars'• generic web: Use curl to test the authentication endpoint and observe any unusual behavior or error messages related to SQL queries.
disclosure
एक्सप्लॉइट स्थिति
EPSS
0.06% (20% शतमक)
CISA SSVC
CVSS वेक्टर
CVE-2026-24031 के लिए प्राथमिक शमन authusernamechars सेटिंग को साफ़ करने से बचना है। यह सेटिंग उपयोगकर्ता नाम में अनुमत वर्णों को परिभाषित करती है, और इसे हटाने से सिस्टम की सुरक्षा काफी कमजोर हो जाती है। यदि विशिष्ट कारणों से सफाई अनिवार्य है, तो Dovecot Pro को नवीनतम उपलब्ध संस्करण में अपग्रेड करने की दृढ़ता से अनुशंसा की जाती है, क्योंकि डेवलपर्स ने संभावित रूप से सुधार लागू किए होंगे। Dovecot लॉग की निगरानी संदिग्ध प्रमाणीकरण प्रयासों का पता लगाने और रोकने में भी मदद कर सकती है। सर्वर सुरक्षा के लिए Dovecot कॉन्फ़िगरेशन की पूरी समीक्षा करना महत्वपूर्ण है।
No borre la configuración auth_username_chars. Si esto no es posible, instale la última versión corregida de Dovecot. Consulte la documentación del proveedor para obtener más detalles sobre la actualización.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
Dovecot एक व्यापक रूप से इस्तेमाल किया जाने वाला ओपन-सोर्स मेल सर्वर है जो ईमेल खातों तक IMAP और POP3 एक्सेस प्रदान करता है।
यह सेटिंग उपयोगकर्ता नाम में अनुमत वर्णों को परिभाषित करती है, संभावित हमले के वेक्टर को सीमित करती है और दुर्भावनापूर्ण वर्णों के इंजेक्शन को रोकती है।
Dovecot Pro को तुरंत नवीनतम उपलब्ध संस्करण में अपडेट करें। यदि तुरंत अपडेट करना संभव नहीं है, तो सेटिंग को डिफ़ॉल्ट मान पर पुनर्स्थापित करने पर विचार करें।
यह सत्यापित करने के लिए कि authusernamechars खाली नहीं है, Dovecot कॉन्फ़िगरेशन की जांच करें। विस्तृत निर्देशों के लिए Dovecot दस्तावेज़ देखें।
आप NVD (नेशनल वल्नेरेबिलिटी डेटाबेस) जैसे भेद्यता डेटाबेस और Dovecot सुरक्षा सलाह में अधिक जानकारी पा सकते हैं।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।