Exim 郵件伺服器重大漏洞修補公告

漏洞概述與影響範圍

郵件傳輸代理軟體系統 Exim 開發團隊於 5 月 12 日發布資安公告，指出其軟體存在遠端記憶體釋收後再存取使用（Use After Free）弱點。此漏洞被登記為 CVE-2026-45185，CVSS 風險評分高達 9.8 分（滿分 10 分），屬於相當危險的天級漏洞。

該漏洞僅在 Exim 搭配 GnuTLS 程式庫進行通訊時才會曝險，若搭配 OpenSSL 或其他 TLS 程式庫則不受影響。受影響的 Exim 版本範圍為 4.97 至 4.99.2 版。

漏洞細節與攻擊方式

攻擊者可透過遠端觸發此漏洞，導致記憶體資料損毀，進而可能引發任意程式碼執行（RCE）。由於此漏洞允許遠端攻擊者以根權限執行程式碼，影響範圍極廣，估計影響數百萬臺伺服器，特別是採用 Debian 為基礎的 Linux 發行版架設的 Exim 環境。

官方回應與建議措施

Exim 開發團隊強調，目前沒有其他緩解措施，呼籲 IT 人員儘速升級至最新版本的 4.99.3 以修補此漏洞。開發團隊已針對此問題發布緊急更新，建議所有使用 Exim 跑郵件傳輸的用戶立即檢查並升級系統。