Dovecot 2.4.4 Beş Güvenlik Açığını Kapattı — Güncelleme Zamanı
Dovecot ekibi, 5 Mayıs 2026 tarihinde OXDC-2026-0002 güvenlik duyurusunu yayımladı. Duyuru, OX Dovecot CE 2.4.4 (ve Pro 3.1.5) sürümlerinde giderilen beş güvenlik açığını kapsıyor. CE 2.4.3 veya önceki bir sürüm çalıştırıyorsanız güncelleme için beklemeniz gereken bir neden yok. Açıklamanın içeriği CVE-2026-27851 — Değişken genişletme yoluyla SQL/LDAP enjeksiyonu (CVSS 7.4) Beşinin en ciddisi bu. Dovecot’ın lib-var-expand modülünde safe filtresi kullanıldığında, aynı karakter dizisi üzerindeki sonraki tüm ardışık işlemler de yanlışlıkla güvenli sayılıyor. Bunun sonucu: saldırgan tarafından kontrol edilen veriler, kimlik doğrulamada kullanılan SQL veya LDAP sorgularına kaçış yapılmadan yazılabiliyor. Henüz kamuya açık bir istismar kodu yok, ancak ağ üzerinden, kimlik doğrulama gerektirmeksizin tetiklenebilen bir CVSS 7.4’ü bekletmek pek akıllıca değil. Hemen yükseltemiyorsanız geçici çözüm, yapılandırmanızda safe filtresini kullanmaktan kaçınmak. ...