Vulnerabilidad en Exim permite ejecución de código en configuraciones de GnuTLS
Recientemente se ha descubierto una vulnerabilidad crítica en Exim, un agente de transferencia de correo (MTA) de código abierto. Esta falla, conocida como CVE-2026-45185 o Dead.Letter, podría permitir a atacantes ejecutar código malicioso en sistemas que utilicen GnuTLS para conexiones TLS, una forma de asegurar la comunicación en línea. Federico Kirschbaum, del laboratorio de seguridad XBOW, detectó el problema y lo reportó el 1 de mayo de 2026.
Cómo funciona el ataque
La vulnerabilidad se produce durante el manejo de transferencias de datos en el protocolo BDAT (Binary Data Transmission) de Exim. Cuando un cliente envía una alerta de cierre TLS antes de que se complete la transferencia de datos, se puede producir una corrupción de la memoria. Esto sucede porque Exim intenta utilizar un área de memoria que ya ha sido liberada, lo que permite a un atacante manipular esa memoria y potencialmente ejecutar código.
- La vulnerabilidad se activa con una secuencia específica de mensajes durante la transferencia de datos.
- Se ve afectado el rango de versiones de Exim desde la 4.97 hasta la 4.99.2.
- Las configuraciones que utilizan otras bibliotecas TLS, como OpenSSL, no están en riesgo.
A quién afecta
Esta falla afecta a cualquier usuario de Exim que utilice GnuTLS, lo que incluye a muchos servidores de correo electrónico en sistemas Unix. La facilidad con la que se puede explotar esta vulnerabilidad significa que representa un grave riesgo para la seguridad de los correos electrónicos en todo el mundo.
Qué significa esto para ti
Es fundamental que los administradores de sistemas que utilicen Exim actualicen a la versión 4.99.3, donde se ha solucionado esta vulnerabilidad. No hay mitigaciones temporales disponibles, por lo que la actualización es la única forma de protegerse. Este incidente resalta la importancia de mantener los sistemas actualizados y de estar atentos a las vulnerabilidades de seguridad para proteger la información sensible.