Fail2ban の mail-whois と呼ばれる機能(Ban の通知を whois 結果付きでメール送るやつ)で CVE-2021-32749 が出ていた。 Possible RCE vulnerability in mailing action using mailutils (mail-whois) · Advisory · fail2ban/fail2ban · GitHub これは mail …

cve.mitre.org 修正コミットはこれ。 github.com PoC は次の通り。テンプレートで利用される変数名を外部から操作できる場合に発生する。 GHSA では High になっているが、このようなケースは少ないだろうと思う。 irb(main):032:0> template = Addressable:…