#Netzwerk & Sicherheit · 3 Min. Lesezeit · Tim Rinkel

SEPPMAIL-SCHOCK! SIEBEN Lücken reissen JETZT JEDEN Mail-Gateway auf — DEINE Firma muss SOFORT auf 15.0.4

SEPPMAIL-SCHOCK! SIEBEN Lücken reissen JETZT JEDEN Mail-Gateway auf — DEINE Firma muss SOFORT auf 15.0.4

SCHOCK in JEDEM Postfach: Sieben Lücken reissen DEINEN Mail-Gateway auf!

Du betreibst einen SEPPmail Secure E-Mail Gateway? Dann lies das hier in den nächsten 5 MINUTEN — denn die Security-Forscher von InfoGuard Labs haben am 19. Mai 2026 gleich SIEBEN Lücken offengelegt. Der Knaller dabei: CVE-2026-2743 mit CVSS-Score 10.0 — höher geht NICHT.

UNGLAUBLICH: Eine Datei reicht, der Server gehört dem Angreifer!

Die CVE-2026-2743 ist eine Path-Traversal-Lücke im Large File Transfer Feature. Klingt harmlos? Ist es nicht. Ein Angreifer kann darüber beliebige Dateien auf die Appliance schieben — zum Beispiel die Datei /etc/syslog.conf, die der Nobody-User schreiben darf. Über einen umgeleiteten Syslog landet dann ein Perl-Reverse-Shell auf dem System. Komplette Übernahme.

Damit nicht genug: CVE-2026-44128 ist unauthentisierte Remote Code Execution per Perl-Code-Injection. CVE-2026-44127 ist Local File Inclusion — der Angreifer liest sich querbeet durch DEINE Mails. CVE-2026-7864 leakt Server-Umgebungsvariablen über die neue GINA-UI ohne jede Anmeldung. Dazu kommen drei weitere Authorization-, Deserialisierungs- und Eval-Injection-Lecks.

GEFAHR! Das ist eine Komplett-Übernahme deiner Mail-Infrastruktur!

Wer die Bude knackt, kann ALLES: Mails mitlesen, Anhänge abgreifen, S/MIME-Schlüssel klauen, im Klartext über E-Mail-Regeln mitlesen, was dein Vorstand schreibt. Im DACH-Mittelstand mit Compliance-Vorgaben (BSI, ISO 27001, Schrems II) ist das ein meldepflichtiger Datenschutzvorfall.

So rettest du deine Mails in 10 MINUTEN!

SEPPmail hat schon nachgepatcht: CVE-2026-44128 ist in 15.0.2.1 dicht, CVE-2026-44126 in 15.0.3. Die restlichen — auch die CVSS-10.0-Bombe — sind erst in 15.0.4 behoben.

Drei Dinge SOFORT:

  1. Update auf 15.0.4 oder neuer einspielen — keine Diskussion.
  2. Logs auf verdächtige Zugriffe auf /lft/– und /gina/-Endpunkte prüfen.
  3. Externen GINA-UI-Zugang sperren, bis der Patch läuft.

EXTRA-TIPP: So findest du Befallsspuren!

Greif dir /var/log/syslog und schau nach unerwarteten Outbound-Verbindungen vom nobody-User. Wer Audit-Logging aktiv hat, sieht dort die LFT-Endpoint-Hits. Und: Lass deinen externen Pentester auf die SEPPmail-Appliance los, bevor andere es tun.

FAZIT: Heute patchen, morgen ruhig schlafen!

CVSS 10.0 plus aktive Mail-Spionage-Möglichkeit ist die Worst-Case-Kombi. Wenn deine IT noch zögert, schick ihr diesen Artikel und die SEPPmail-Advisory.

Häufige Fragen

Welche SEPPmail-Versionen sind betroffen?
Alle Versionen unter 15.0.4. CVE-2026-44128 ist ab 15.0.2.1 dicht, CVE-2026-44126 ab 15.0.3. Die restlichen Lücken — inklusive der CVSS-10.0-Bombe CVE-2026-2743 — schliesst erst 15.0.4. Wer noch auf 14.x sitzt, hat eine offene Bude.
Wie merke ich, ob meine Appliance verwundbar ist?
Die Versionsanzeige im Admin-Backend zeigt die aktuelle Firmware. Wer unter 15.0.4 steht, ist betroffen. Zusätzlich kannst du im Logfile /var/log/syslog nach ungewöhnlichen LFT-Zugriffen suchen oder Verbindungen vom nobody-User auf externe Hosts prüfen.
Gab es schon aktive Angriffe?
InfoGuard Labs hat die Lücken im Mai 2026 verantwortlich offengelegt, bevor Exploits in der freien Wildbahn gesichtet wurden. Aber: Sobald Details öffentlich sind, fangen Massen-Scans innerhalb von Tagen an. Wer jetzt nicht patcht, lädt Skript-Kiddies ein.
Wie patche ich eine SEPPmail-Appliance sicher?
Über den offiziellen Updater im Admin-Backend, ein Snapshot der VM vorher als Rollback. Nach dem Update einen Restart durchführen und Status checken. Wer in einem Cluster fährt, rolliert Node für Node — keine grosse Downtime nötig.

Quellen

Kommentar hinterlassen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert