Exim corrige vulnerabilidade crítica que pode permitir execução remota de código
A Exim, um agente de transferência de e-mail de código aberto, lançou atualizações de segurança para corrigir uma vulnerabilidade crítica, identificada como CVE-2026-45185, também conhecida como Dead.Letter. Essa falha, classificada como uma vulnerabilidade de uso após liberação (use-after-free), afeta versões do Exim entre 4.97 e 4.99.2 que utilizam a biblioteca GnuTLS. O problema ocorre durante o processamento de mensagens BDAT quando um cliente envia um alerta de fechamento TLS antes da conclusão da transferência do corpo da mensagem, resultando em corrupção de memória e potencial execução de código malicioso. O especialista Federico Kirschbaum, do XBOW, destacou que a exploração dessa vulnerabilidade requer pouca configuração especial no servidor. A Exim já lançou a versão 4.99.3, que corrige a falha, e recomenda que todos os usuários atualizem imediatamente, pois não há mitigações disponíveis. Essa não é a primeira vez que falhas críticas são descobertas no Exim, levantando preocupações sobre a segurança contínua do software.