Доступен корректирующий выпуск почтового сервера Exim 4.98.1, в котором устранена уязвимость (CVE-2025-26794), позволяющая осуществить подстановку SQL-кода во внутреннюю БД (Hints DB), используемую для хранения информации о состоянии доставки сообщений.
Уязвимость проявляется только в выпуске Exim 4.98 при сборке с опцией “_USE_SQLITE_”, включающей использование СУБД SQLite для хранения Hints DB (включено, если при запуске “exim -bV” выводится “Hints DB: Using sqlite3”). Для эксплуатации уязвимости также требуется включение в файле конфигурации SMTP-команды ETRN (“acl_smtp_etrn” должно быть выставлено в “accept”) и включение использования сериализации ETRN (“smtp_etrn_serialize” должно быть выставлено в “true”).
Release.
Ссылка here.