Registrieren Anmelden
RegistrierenAnmelden
Banner E-Learning IT-Sicherheit
Breadcrumb-Navigation
Free

SEPPMail-Lücken öffnen Weg zu vollständiger Gateway-Übernahme : Kritische Schwachstellen ermöglichen Codeausführung und Zugriff auf Mailverkehr

Mehrere teils kritische Schwachstellen im SEPPMail Secure E-Mail Gateway gefährden vertrauliche Kommunikation. Angreifer könnten aus der Ferne Code ausführen, Dateien manipulieren, lokale Daten auslesen und im Extremfall den gesamten Mailverkehr einer Appliance kontrollieren.

THN/Stefan Mutschler (freier Journalist)Bedrohungen
Lesezeit 2 Min.

Im SEPPMail Secure E-Mail Gateway sind mehrere Sicherheitslücken offengelegt worden, die weit über einzelne Fehlfunktionen hinausgehen. Die Schwachstellen betreffen unter anderem die Large-File-Transfer-Funktion, die neue GINA-Oberfläche und mehrere Programmierschnittstellen. Nach Einschätzung zweier Security-Analysten von InfoGuard Labs hätten die Lücken „ausgenutzt werden können, um den gesamten Mailverkehr zu lesen oder als Einstiegspunkt in das interne Netzwerk zu dienen“. Damit rückt ein System in den Fokus, das in Unternehmen ausgerechnet zum Schutz vertraulicher E-Mail-Kommunikation eingesetzt wird.

Sieben Schwachstellen mit hohem Risiko

Die gemeldeten Schwachstellen reichen von fehlenden Autorisierungsprüfungen bis zur unauthentifizierten Remote Code Execution (RCE), also der Ausführung von Code aus der Ferne. Besonders kritisch ist CVE-2026-2743 mit einem Common Vulnerability Scoring System (CVSS) von 10,0. Insgesamt wurden folgende Schwachstellen identifiziert:

  • CVE-2026-2743 (CVSS 10,0): Path-Traversal-Lücke in der Large-File-Transfer-Funktion der SEPPMail User Web Interface, die beliebiges Schreiben von Dateien und dadurch Remote Code Execution ermöglicht.
  • CVE-2026-7864 (CVSS 6,9): Offenlegung sensibler Systeminformationen durch Server-Umgebungsvariablen über einen unauthentifizierten Endpunkt in der neuen GINA-Benutzeroberfläche.
  • CVE-2026-44125 (CVSS 9,3): Fehlende Autorisierungsprüfung für mehrere Endpunkte der neuen GINA-Oberfläche, wodurch Funktionen ohne gültige Sitzung erreichbar werden.
  • CVE-2026-44126 (CVSS 9,2): Deserialisierung nicht vertrauenswürdiger Daten, die unauthentifizierten Angreifern Codeausführung über präparierte Objekte erlaubt.
  •  CVE-2026-44127 (CVSS 8,8): Unauthentifizierte Path-Traversal-Lücke in „/api.app/attachment/preview“, mit der lokale Dateien gelesen und Dateien im Zielverzeichnis gelöscht werden können.
  • CVE-2026-44128 (CVSS 9,3): Eval-Injection, weil der Parameter „upldd“ der Funktion „/api.app/template“ ungefiltert an eine Perl-eval-Anweisung übergeben wird.
  •  CVE-2026-44129 (CVSS 8,3): Unzureichende Neutralisierung spezieller Elemente in einer Template Engine, wodurch beliebige Template-Ausdrücke und je nach Plugin-Konfiguration Codeausführung möglich werden.

Vom Dateischreiben zur Reverse Shell

Ein mögliches Angriffsszenario zeigt, wie aus einer Path-Traversal-Lücke eine vollständige Übernahme entstehen kann. Über CVE-2026-2743 könnte ein Angreifer die Konfiguration des Systemprotokolls unter „/etc/syslog.conf“ überschreiben, weil der Nutzer „nobody“ Schreibrechte auf diese Datei besitzt. Danach wäre es möglich, eine Perl-basierte Reverse Shell einzurichten.

Eine technische Hürde bleibt: syslogd, der Linux-Daemon für Systemmeldungen, liest seine Konfiguration erst nach einem Signal Hang Up (SIGHUP) neu ein. Genau hier kommt newsyslog ins Spiel. Die Experten erklären: „Die Appliance nutzt newsyslog für die Log-Rotation, das alle 15 Minuten per Cron ausgeführt wird.“ Wenn Angreifer Protokolldateien wie „SEPPMaillog“ gezielt aufblähen, kann eine Rotation erzwungen werden. Danach sendet newsyslog automatisch SIGHUP an syslogd – die manipulierte Konfiguration wird geladen.

Zugriff auf Mailverkehr und interne Netze

Das Ergebnis wäre gravierend: Eine kompromittierte SEPPMail-Appliance könnte Angreifern erlauben, den gesamten Mailverkehr mitzulesen und dauerhaft auf dem Gateway zu verbleiben. Weil ein Secure E-Mail Gateway typischerweise zwischen interner Kommunikation, externem E-Mail-Verkehr und Sicherheitsrichtlinien steht, hätte ein solcher Zugriff strategischen Wert. Neben Datendiebstahl wären auch Folgeangriffe auf interne Systeme denkbar.

SEPPMail hat die Schwachstellen inzwischen in mehreren Versionen geschlossen. CVE-2026-44128 wurde mit Version 15.0.2.1 behoben, CVE-2026-44126 mit Version 15.0.3. Die übrigen Lücken sind laut Bericht in Version 15.0.4 gepatcht. Unternehmen sollten betroffene Appliances daher zeitnah aktualisieren, exponierte Schnittstellen prüfen und Protokolle auf auffällige Datei- und Token-Aktivitäten untersuchen.

Die Veröffentlichung folgt nur wenige Wochen nach einem weiteren kritischen Fehler, CVE-2026-27441 mit CVSS 9,5, der bereits beliebige Betriebssystembefehle ermöglicht hatte.

Weitere Artikel zum Thema: 

Der lange dunkle Weg ins Licht

Reverse Engineering

Lesen Sie weiter

Diese Beiträge könnten Sie ebenfalls interessieren.