Die von InfoGuard Labs offengelegten Schwachstellen betreffen das SEPPmail Secure E-Mail Gateway, eine als virtuelle Appliance betriebene E-Mail-Sicherheitslösung für Unternehmen. Nach Angaben der Forscher Dario Weiss, Manuel Feifel und Olivier Becker hätten die Lücken genutzt werden können, „um den gesamten Mailverkehr mitzulesen oder als Einstiegsvektor in das interne Netzwerk".

Im Mittelpunkt des beschriebenen Angriffsszenarios steht CVE-2026-2743. Ein Angreifer kann darüber die Syslog-Konfigurationsdatei des Systems („/etc/syslog.conf") überschreiben, indem er den Schreibzugriff des Benutzers „nobody" auf diese Datei ausnutzt. Auf diesem Weg lässt sich eine Perl-basierte Reverse Shell erlangen. Das Ergebnis ist eine vollständige Übernahme der SEPPmail-Appliance: Der Angreifer kann den gesamten Mailverkehr mitlesen und sich dauerhaft auf dem Gateway einnisten.

Eine wesentliche Hürde auf dem Weg zur Codeausführung liegt darin, dass der Linux-Systemdienst syslogd seine Konfiguration nur dann neu einliest, wenn er das Signal SIGHUP („signal hang up") empfängt. Die Forscher beschreiben, wie sich dieser Neustart der Konfiguration erzwingen lässt: Die Appliance nutzt newsyslog für die Log-Rotation, das alle 15 Minuten per Cron läuft. newsyslog rotiert Dateien, die eine Größenbeschränkung überschreiten, und sendet danach automatisch ein SIGHUP an syslogd.

„Indem wir Logdateien wie SEPPMaillog aufblähen, die in diesem Fall eine Grenze von 10.000 KB hat, können wir eine Rotation und ein anschließendes Neuladen der Konfiguration erzwingen", erklären die Forscher. Befüllen lassen sich diese Dateien allein durch das Senden von Webanfragen.

Der Hersteller hat die Schwachstellen über mehrere Versionen hinweg behoben: CVE-2026-44128 wurde mit Version 15.0.2.1 korrigiert, CVE-2026-44126 mit Version 15.0.3. Die übrigen Lücken sind in Version 15.0.4 gepatcht.

Die Offenlegung erfolgt wenige Wochen, nachdem SEPPmail bereits Updates gegen eine weitere kritische Schwachstelle (CVE-2026-27441, CVSS-Wert 9,5) ausgeliefert hatte, über die sich beliebige Betriebssystembefehle ausführen ließen.