-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA512


   #####################################################
  ##  N C S C ~ B E V E I L I G I N G S A D V I E S  ##
 #####################################################

Titel           : Kwetsbaarheid verholpen in Exim
Advisory ID     : NCSC-2026-0163
Versie          : 1.00
Kans            : medium
CVE ID          : CVE-2026-45185
                  (Details over de kwetsbaarheden kunt u vinden op
                   de Mitre website: https://cve.mitre.org/cve/)
Schade          : high
                  Use After Free
Uitgiftedatum   : 20260515
Toepassing      : Exim Exim
                  Open Source Exim
Versie(s)       :
Platform(s)     :

Beschrijving
   De ontwikkelaars van Exim hebben een kwetsbaarheid verholpen in Exim
   mail transfer agent versies voorafgaand aan 4.99.3.

   De kwetsbaarheid betreft een use-after-free in het BDAT body parsing
   pad van Exim, specifiek bij gebruik van bepaalde GnuTLS backend
   configuraties. Een niet-geauthenticeerde aanvaller kan deze
   kwetsbaarheid op afstand misbruiken, wat leidt tot heap corruptie. De
   corrupte heap kan worden gebruikt om willekeurige code uit te voeren
   op het getroffen systeem.

Mogelijke oplossingen
   Exim heeft updates uitgebracht om de kwetsbaarheid te verhelpen. Zie
   bijgevoegde referenties voor meer informatie.

   Referenties:
      Reference
      http://www.openwall.com/lists/oss-security/2026/05/12/25

      Reference
      https://code.exim.org/exim/wiki/wiki/EximSecurity

      Reference
      https://exim.org/static/doc/security/CVE-2026-45185.txt

      Reference
      https://exim.org/static/doc/security/EXIM-
      Security-2026-05-01.1/EXIM-Security-2026-05-01.1.txt

Vrijwaringsverklaring
   Door gebruik van deze security advisory gaat u akkoord met de
   navolgende voorwaarden. Ondanks dat het NCSC de grootst mogelijke
   zorg heeft betracht bij de samenstelling van dit beveiligingsadvies,
   kan het NCSC niet instaan voor de volledigheid, juistheid of
   (voortdurende) actualiteit van dit beveiligingsadvies. De informatie
   in dit beveiligingsadvies is uitsluitend bedoeld als algemene
   informatie voor professionele partijen. Aan de informatie in dit
   beveiligingsadvies kunnen geen rechten worden ontleend. Het NCSC
   en de Staat zijn niet aansprakelijk voor enige schade ten gevolge
   van het gebruik of de onmogelijkheid van het gebruik van dit
   beveiligingsadvies, waaronder begrepen schade ten gevolge van de
   onjuistheid of onvolledigheid van de informatie in dit
   beveiligingsadvies. Op dit beveiligingsadvies is Nederlands recht
   van toepassing. Alle geschillen in verband met en/of voortvloeiend
   uit dit beveiligingsadvies zullen worden voorgelegd aan de exclusief
   bevoegde rechter te Den Haag. Deze rechtskeuze geldt tevens voor de
   voorzieningenrechter in kort geding.
-----BEGIN PGP SIGNATURE-----
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=12zQ
-----END PGP SIGNATURE-----