As versões afetadas são a 4.87 e a 4.91. A falha está presente mais precisamente no software agente de transferência de email (MTA). Pode ser explorada por um atacante remoto e não autenticado.

Esta falha é dada pelo CVE-2019-10149, e reside na função deliver_message() no fcheiro /src/deliver.c, sendo provocada pela validação imprópria dos endereços dos recipientes.

Para que o atacante consiga explorar esta falha com sucesso, deve manter uma conexão ao servidor durante 7 dias, sendo necessário transmitir um byte durante um certo número de minutos, no entanto o modelo de exploração não é único.

Dentro das configurações do servidor, caso se verifique no código que "verify = recipient", a exploração local funciona também remotamente.

Versão corrigida:

4.92

Mais informações do software: https://www.exim.org/

Fonte: https://www.zdnet.com/article/new-rce-vulnerability-impacts-nearly-half-of-the-internets-email-servers/