つみかさね

CVE-2026-41113

High(8.1)

CVE-2026-41113 — sagredo qmail リモートコード実行

公開日: 2026-04-20データソース: NVD, GitHub Advisory

影響を受けるソフトウェア

製品ベンダー影響バージョン
qmailsagredo-dev< v2026.04.07

対応ガイド

high|推奨セキュリティ修正影響: 限定的

推奨アクション

  1. 1sagredo qmailを使用しているか確認する
  2. 2v2026.04.07へアップデートする
  3. 3アップデートが困難な場合はTLS設定を見直す

影響対象

sagredo qmail利用者

補足

  • -popen経由のコマンドインジェクションのため、TLS接続が有効な環境で影響があります
CVEqmailRCEOSコマンドインジェクション

概要

sagredo qmail(v2026.04.07より前)の qmail-remote.c にある notlshosts_auto 関数内で popen が使用されており、TLS接続時の tls_quit 処理を通じてリモートからコード実行が可能な脆弱性があります。

CVSSベクトル

項目
CVSSスコア8.1(High)
攻撃元区分ネットワーク
攻撃条件の複雑さ
必要な特権不要
ユーザー関与不要
CWECWE-78(OSコマンドインジェクション)

影響を受けるソフトウェア

製品ベンダー影響バージョン
qmailsagredo-devv2026.04.07 より前

修正バージョンと回避策

  • 修正: v2026.04.07
  • 回避策: 修正バージョンへのアップデートを推奨

関連リンク

データソース: NVD (NIST), GitHub Advisory Database AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。

参考リンク

NVD:https://nvd.nist.gov/vuln/detail/CVE-2026-41113
GitHub:https://github.com/sagredo-dev/qmail/commit/749f607f6885e3d01b36f2647d7a1db88f1ef741
GitHub:https://github.com/sagredo-dev/qmail/releases/tag/v2026.04.07
Xでシェアはてブ
データソース: NVD (NIST), OSV (Google), GitHub Advisory Database, JVN iPedia (IPA/JPCERT/CC)
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。