Прошло почти два месяца с публикации статьи.
Разраб действительно поправил часть олдовых багосов, но, как оказалось, снова забыл про базовую безопасность дев-инфры.
На одном из хостов (привет, 89.167.7.127!) наружу торчит почта: 220 mimolet ESMTP Exim 4.97 Ubuntu
После EHLO сервер сам несет на блюдечке:
-
250-CHUNKING
-
250-STARTTLS
-
250-AUTH PLAIN LOGIN CRAM-MD5
Переход в TLS оставляет CHUNKING доступным.
Некими проверками выясняется, что набор признаков указывает на наличие CVE-2026-45185 с CVSS 9.8. Повезло, что уязвимость свежая, сканеры не дремлют.
Друзья-кодеры, безопасность — не мелкие фиксы, а полный пересмотр всего.
Писал разрабу в очередной раз, ЧСВ у него знатное, до сих пор считает что дыры — база, фиксы я вряд ли увижу.