CVE-2026-43859 CVSS 3.7 低危

CVE-2026-43859: mutt IMAP认证绕过漏洞

披露日期: 2026-05-04

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-43859

漏洞类型

认证绕过

CVSS评分

3.7 低危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

mutt

漏洞概述

Mutt邮件客户端在2.3.2之前的版本中存在一个安全漏洞。在处理IMAP CRAM-MD5认证的摘要信息时，程序错误地使用了strfcpy函数而非memcpy函数。由于MD5摘要为二进制数据，可能包含空字节，使用字符串复制函数会导致数据被截断，从而可能影响认证的完整性，导致认证绕过风险。

技术细节

该漏洞源于代码逻辑错误，具体位于IMAP CRAM-MD5认证机制中。MD5摘要由16字节的二进制数据组成，并非以空字符结尾的字符串。strfcpy函数主要用于处理字符串，它会在遇到第一个空字节（\0）时停止复制，或者为了确保字符串以空字节结尾而牺牲最后一个字节的存储空间。当Mutt计算出的MD5摘要恰好包含空字节或长度达到缓冲区边界时，strfcpy会截断摘要数据。如果服务器端对截断后的摘要进行验证，或者攻击者能够控制验证逻辑，这种不匹配可能导致原本无效的认证凭证被接受，从而实现低影响的完整性破坏（I:L）。该漏洞利用难度较高（AC:H），需要特定的数据触发条件。

攻击链分析

STEP 1

步骤1

攻击者搭建恶意IMAP服务器或处于中间人位置，准备向目标Mutt客户端发起连接。

STEP 2

步骤2

服务器向Mutt客户端发送CRAM-MD5认证挑战。攻击者精心构造挑战数据，使得客户端使用已知密码计算出的MD5摘要中包含空字节（0x00）。

STEP 3

步骤3

Mutt客户端计算响应摘要，并调用存在漏洞的函数（使用strfcpy）处理该二进制摘要。

STEP 4

步骤4

由于strfcpy遇到空字节停止复制，发送给服务器的认证响应被截断，不再等于完整的MD5值。

STEP 5

步骤5

如果服务器端实现存在缺陷，接受了被截断的哈希值，攻击者即可在不知道完整正确哈希的情况下完成认证，绕过安全检查。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import hashlib

# Simulate the vulnerable strfcpy behavior (simplified)
def vulnerable_strfcpy(dest, src, size):
    # strfcpy copies 'size-1' bytes and ensures null termination
    # It stops at the first null byte in src
    i = 0
    while i < size - 1 and i < len(src):
        if src[i] == 0: # Stop at null byte
            break
        dest[i] = src[i]
        i += 1
    dest[i] = 0 # Null terminate
    return dest

# Assume we have a dummy MD5 digest that contains a NULL byte at index 5
# Normal MD5 is 16 bytes.
# In a real attack, the attacker (controlling the server) forces a challenge
# that results in a specific digest from the client's known password.
md5_digest = bytes([1, 2, 3, 4, 5, 0, 7, 8, 9, 10, 11, 12, 13, 14, 15, 16])

print(f"Original MD5 Digest (hex): {md5_digest.hex()}")

# Vulnerable Code Execution
buffer_size = 16
vuln_buffer = bytearray(buffer_size)
copied_data = vulnerable_strfcpy(vuln_buffer, md5_digest, buffer_size)

print(f"Vulnerable Copy (hex):    {copied_data.hex()}")
print("Note: Data truncated at the NULL byte (index 5). Authentication bypass possible if server accepts truncated hash.")

影响范围

mutt < 2.3.2

防御指南

临时缓解措施

建议用户立即检查Mutt版本，如果低于2.3.2，应尽快升级。在无法立即升级的情况下，建议在邮件客户端配置中禁用IMAP的CRAM-MD5认证方式，改用更安全的认证机制（如OAuth2），以缓解潜在风险。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表