SEPPmail Secure E-Mail Gateway アプライアンスの重大な脆弱性には、認証前リモートコード実行 (RCE) チェーンおよびデバイス上のすべてのメール トラフィックを公開できるローカル ファイル インクルージョンの欠陥が含まれます。
2026 年 5 月に公開された調査結果は、Large File Transfer (LFT) モジュールと新しい GINA V2 Web インターフェースという 2 つの主要なコンポーネントにまたがる 7 つの CVE をカバーしており、Censys スキャンで特定された数千の公開アクセス可能な SEPPmail インスタンスに影響します。
InfoGuard チームは、ETH Zurich プロジェクトが以前の OS コマンド インジェクション欠陥 (CVE-2026-27441) を浮上させた後、研究を開始し、追加の未探索コンポーネントがより深い精査の価値があると結論付けました。
最も深刻な調査結果である CVE-2026-2743 は Large File Transfer (LFT) 機能に存在し、Censys ベースのスキャンによると、大多数の顧客によって有効になっている機能です。
2025 年初頭から利用可能な GINA V2 Web インターフェースは、3 つの追加の重大な欠陥をもたらします。
CVE-2026-2743 または CVE-2026-44128 の悪用に成功すると、アプライアンスが完全に乗っ取られ、攻撃者はすべての受信および送信メール トラフィックをクリアテキストで読み取り、永続的なバックドア アクセスを確立できます。
調整された開示は 2026 年 2 月から 5 月にまたがり、最初のレポートは 2 月 12 日に提出され、すべての CVE は 2026 年 5 月 8 日にリリースされました。
注目すべきことに、RCE をトリガーすることもできた 3 月に提出された 3 番目の脆弱性レポートは、5 月 15 日まで SEPPmail によって見落とされていました。
この研究は、より広い懸念を強調しています。LLM 支援の脆弱性発見が成熟するにつれて、広くデプロイされたインフラストラクチャで重大な欠陥を見つけて悪用するのに必要な時間とスキルが減少し続けています。
翻訳元: https://cyberpress.org/seppmail-gateway-flaws-mail-traffic/