Plataforma
linux
Componente
dovecot
Corrigido em
3.1.1
2.4.1
A vulnerabilidade CVE-2026-24031 possibilita o bypass da autenticação baseada em SQL no Dovecot, ocorrendo quando o administrador limpa o parâmetro authusernamechars. Isso permite que atacantes burlem a autenticação de qualquer usuário e realizem a enumeração de usuários. A vulnerabilidade afeta as versões 0 até 3.1.0 do Dovecot. A correção envolve evitar a limpeza do authusernamechars ou instalar a versão corrigida mais recente.
A CVE-2026-24031 afeta o Dovecot Pro, um servidor de email popular. A vulnerabilidade reside no seu sistema de autenticação baseado em SQL. Se um administrador limpar a configuração authusernamechars, a autenticação pode ser ignorada, permitindo o acesso não autorizado a contas de email e a enumeração de usuários. Isso significa que um atacante pode, potencialmente, acessar emails confidenciais, comprometer a privacidade dos usuários e obter informações sobre a estrutura do banco de dados de usuários do Dovecot. A gravidade desta vulnerabilidade é classificada como 7.7 na escala CVSS, indicando um risco significativo. Embora não sejam conhecidos exploits públicos disponíveis, a possibilidade de exploração é real se a configuração authusernamechars foi modificada.
A exploração desta vulnerabilidade requer acesso ao servidor Dovecot e a capacidade de modificar a sua configuração. Um atacante pode tentar limpar authusernamechars e, em seguida, tentar autenticar-se com nomes de usuário que contenham caracteres inválidos, o que pode permitir ignorar a autenticação. A enumeração de usuários torna-se possível ao testar diferentes nomes de usuário e observar as respostas do servidor. A ausência de exploits públicos conhecidos não diminui o risco, uma vez que um atacante com conhecimento da vulnerabilidade pode desenvolver as suas próprias ferramentas de exploração. A configuração incorreta do Dovecot é uma causa comum deste tipo de problema de segurança.
Organizations utilizing Dovecot for email authentication, particularly those with legacy configurations or systems where the authusernamechars setting has been inadvertently cleared, are at significant risk. Shared hosting environments where multiple users share the same Dovecot instance are also particularly vulnerable, as a compromise of one user could potentially lead to access for others.
• linux / server:
journalctl -u dovecot -g 'auth_username_chars' | grep -i 'error' -i 'warning'• linux / server:
ps aux | grep dovecot | grep -i 'auth_username_chars'• generic web: Use curl to test the authentication endpoint and observe any unusual behavior or error messages related to SQL queries.
disclosure
Status do Exploit
EPSS
0.06% (percentil 20%)
CISA SSVC
Vetor CVSS
A mitigação principal para a CVE-2026-24031 é evitar a limpeza da configuração authusernamechars. Esta configuração define os caracteres permitidos nos nomes de usuário e a sua remoção enfraquece significativamente a segurança do sistema. Se a limpeza for inevitável por razões específicas, recomenda-se fortemente atualizar o Dovecot Pro para a versão mais recente disponível, uma vez que os desenvolvedores podem ter implementado correções. Monitorar os logs do Dovecot em busca de tentativas de autenticação suspeitas também pode ajudar a detectar e prevenir ataques. Uma revisão completa da configuração do Dovecot é crucial para garantir a segurança do servidor de email.
Não borrre a configuração (auth_username_chars). Se isso não for possível, instale a versão corrigida mais recente do Dovecot. Consulte a documentação do fornecedor para obter mais detalhes sobre a atualização.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
Dovecot é um servidor de email de código aberto amplamente utilizado para fornecer acesso IMAP e POP3 a contas de email.
Esta configuração define os caracteres permitidos nos nomes de usuário, limitando os possíveis vetores de ataque e prevenindo a injeção de caracteres maliciosos.
Atualize imediatamente o Dovecot Pro para a versão mais recente disponível. Se a atualização não for possível imediatamente, considere reverter a configuração para o seu valor padrão.
Revise a configuração do Dovecot para garantir que authusernamechars não está vazio. Consulte a documentação do Dovecot para obter instruções detalhadas.
Pode encontrar mais informações em bases de dados de vulnerabilidades como o NVD (National Vulnerability Database) e em avisos de segurança do Dovecot.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.