Se ha identificado una vulnerabilidad grave en Exim, el agente de transferencia de correo más usado en Internet, que permite a un atacante remoto corromper la memoria del servidor y ejecutar código malicioso sin requerir privilegios ni credenciales. Este fallo, presente en el backend GnuTLS de Exim y activado mediante el comando BDAT del protocolo SMTP, fue divulgado públicamente el 12 de mayo de 2026 tras un proceso coordinado de revelación responsable.
Productos afectados
| Producto | Componente | Versiones afectadas | Plataformas/SO |
|---|---|---|---|
| Exim | Backend GnuTLS (TLS en BDAT) | 4.97 a 4.99.2 compilado con USE_GNUTLS=yes | Principalmente Linux y otros sistemas donde se usen estas versiones compiladas con GnuTLS |
Solución
Actualizar a Exim versión 4.99.3, publicada el 12 de mayo de 2026.
Recomendaciones
Priorizar la actualización inmediata de todos los servidores Exim afectados que utilicen el backend GnuTLS para mitigar la explotación remota; tras actualizar, validar que la nueva versión esté correctamente implementada y funcionando. Linux: implementar la actualización vía repositorios oficiales o compilación desde el código fuente parcheado.