Courier-Authlib in Verbindung mit einem Datenbank-Backend wie MySQL oder PostgreSQL ist verwundbar, da übergebene Parameter wie z. B. der Username nicht sorgfältig auf mögliche SQL Injections geprüft wird. Ein entfernter Angreifer kann so durch einen manipulierten Login-Versuch Datenbank-Inhalte (wie z. B. Mailbox-Kennwörter) ändern, sofern der von courier-authlib verwendete DB-User Schreibrechte auf den Mail-Backend-Tabellen hat,
Da courier-authlib in sehr vielen Mail-Setups Verwendung findet, sei allen Mailserver-Betreibern geraten, hier dringend nach einem Update ausschau zu halten!
Quelle: http://cve.mitre.org/cgi-bin/cvename.cg ... -2008-2667