CVE-2026-2743 : RCE SEPPMail pré-auth, trafic mail exposé

Les faits

CVE-2026-2743 est une vulnérabilité critique de traversée de chemin (path traversal) avec écriture arbitraire de fichiers affectant le composant Large File Transfer (LFT) de SEPPMail Secure E-Mail Gateway, dans toutes les versions jusqu'à 15.0.2.1 incluse. Avec un score CVSS de 10.0, cette faille est la plus sévère d'un cluster de quatre vulnérabilités découvertes par les chercheurs d'InfoGuard Labs et publiées en mai 2026, selon The Hacker News et CyberSecurityNews. La divulgation complète a été publiée par InfoGuard Labs (labs.infoguard.ch) dans un advisory technique dédié.

SEPPMail est une solution suisse de passerelle email sécurisée très répandue dans les entreprises européennes, notamment dans les secteurs financier, juridique et médical. Elle assure le chiffrement automatique des emails sortants et le déchiffrement des emails entrants, agissant comme un proxy transparent entre les serveurs de messagerie internes et l'internet. Cette position de pivot dans l'infrastructure email rend une compromission de SEPPMail particulièrement dévastatrice : un attaquant contrôlant l'appliance SEPPMail contrôle l'intégralité du trafic email de l'organisation en clair, sans que les utilisateurs ni les systèmes de monitoring habituels ne détectent quoi que ce soit d'anormal.

La vulnérabilité CVE-2026-2743 est localisée dans l'interface web du composant LFT (Large File Transfer), accessible sans authentification préalable. Le composant LFT permet le partage de fichiers volumineux via des liens web temporaires, une fonctionnalité couramment exposée sur internet pour permettre l'échange de documents volumineux avec des partenaires externes. La faille provient d'une validation insuffisante des chemins de fichiers fournis par l'utilisateur lors des opérations d'upload. L'attaquant peut injecter des séquences de traversée de répertoire (../) dans les paramètres de chemin, ce qui permet d'écrire des fichiers arbitraires dans n'importe quel répertoire du système de fichiers avec les permissions de l'utilisateur nobody.

En pratique, selon l'analyse technique d'InfoGuard Labs, la chaîne d'exploitation complète procède en plusieurs étapes. L'attaquant exploite d'abord la traversée de chemin pour écraser le fichier /etc/syslog.conf, sur lequel l'utilisateur nobody dispose de droits d'écriture dans cette configuration par défaut de SEPPMail. Un contenu malveillant est injecté dans ce fichier de configuration, forçant le démon syslog à exécuter une commande lors de son prochain rechargement. Cette commande établit un reverse shell Perl, donnant à l'attaquant un accès interactif complet à l'appliance. Une escalade de privilèges vers root est ensuite possible, permettant une compromission totale et persistante.

La criticité de CVE-2026-2743 est renforcée par son caractère pré-authentifié (PR:N dans le vecteur CVSS). Aucun compte, aucune session active, et aucune interaction préalable avec la cible ne sont nécessaires pour déclencher l'exploitation. Tout attaquant ayant accès réseau à l'interface web LFT de SEPPMail peut compromettre l'appliance. Dans de nombreuses configurations, l'interface web de SEPPMail est exposée directement sur internet pour permettre la réception de fichiers volumineux depuis des partenaires externes, élargissant considérablement la surface d'attaque à l'échelle mondiale.

Le même audit d'InfoGuard Labs a révélé trois autres vulnérabilités dans la même appliance : CVE-2026-7864 (LFI — Local File Inclusion — permettant la lecture de fichiers système arbitraires sans authentification), CVE-2026-44127 et CVE-2026-44128 (deux failles supplémentaires affectant l'interface d'administration). Ces vulnérabilités complémentaires peuvent être enchaînées avec CVE-2026-2743 pour faciliter l'exploitation dans des scénarios où la vulnérabilité principale serait partiellement mitigée, ou pour consolider l'accès une fois la compromission initiale établie.

L'impact d'une compromission réussie est particulièrement grave pour une appliance email sécurisée. Une fois l'attaquant en contrôle de SEPPMail, il peut : lire l'intégralité des emails entrants et sortants en clair avant leur chiffrement ou après leur déchiffrement, modifier des emails en transit (attaque de l'homme du milieu), injecter des pièces jointes malveillantes dans des emails légitimes, exfiltrer les clés de chiffrement S/MIME ou PGP configurées sur l'appliance, et maintenir une backdoor persistante permettant une surveillance continue des communications. La nature même de SEPPMail fait que sa compromission est difficile à détecter : les emails continuent de circuler normalement tandis qu'une copie est silencieusement exfiltrée.

Les versions affectées sont toutes les versions de SEPPMail Secure E-Mail Gateway jusqu'à 15.0.2.1 incluse. Le correctif est disponible dans la version 15.0.4, publiée par SEPPMail AG en réponse à la divulgation responsable d'InfoGuard Labs. D'après NVD/NIST (CVE-2026-2743) et SentinelOne Vulnerability Database, aucune exploitation active in-the-wild n'a été formellement confirmée à la date de rédaction. Cependant, la combinaison du score CVSS maximal, de l'absence d'authentification requise, et de la position stratégique des appliances SEPPMail en fait une cible à très haute valeur pour des acteurs APT ciblant des entreprises européennes à la recherche de renseignements économiques ou stratégiques.

Impact et exposition

Sont exposées toutes les organisations utilisant SEPPMail Secure E-Mail Gateway en version 15.0.2.1 ou antérieure, particulièrement celles qui exposent l'interface web LFT à des réseaux non maîtrisés ou à l'internet public. Les secteurs les plus à risque traitent des informations sensibles par email : institutions financières, cabinets d'avocats et notaires, établissements de santé, organismes publics, et entreprises industrielles échangeant des informations contractuelles ou techniques confidentielles.

La position stratégique de SEPPMail amplifie considérablement l'impact d'une compromission. Contrairement à une attaque ciblant un poste de travail ou un serveur applicatif, une compromission de la passerelle email touche l'ensemble des communications de l'organisation. Dans un contexte de conformité RGPD, une telle violation constitue une violation de données personnelles à déclarer à la CNIL dans les 72 heures suivant sa découverte, avec les conséquences juridiques et réputationnelles associées, particulièrement significatives dans des secteurs réglementés.

La persistence discrète est le risque le plus insidieux : un attaquant sophistiqué configurera l'appliance pour transférer silencieusement une copie de chaque email tout en laissant le service fonctionner normalement. Cette surveillance longue durée peut passer inaperçue pendant des mois sans audit de sécurité proactif de l'appliance, permettant l'exfiltration de volumes importants de communications confidentielles.

Recommandations immédiates

• Mettre à jour vers SEPPMail 15.0.4 immédiatement — SEPPMail AG Security Advisory, mai 2026 (cluster CVE-2026-2743, CVE-2026-7864, CVE-2026-44127, CVE-2026-44128)
• Si le patch ne peut être appliqué immédiatement : restreindre l'accès réseau à l'interface web LFT aux seules adresses IP de confiance via pare-feu
• Désactiver le composant LFT si cette fonctionnalité n'est pas utilisée dans votre organisation
• Auditer les logs d'accès web de l'appliance pour des requêtes contenant des séquences ../ dans les paramètres depuis le 1er mai 2026
• Vérifier l'intégrité du fichier /etc/syslog.conf et des fichiers de configuration système de l'appliance
• En cas de compromission suspectée : traiter l'ensemble du trafic email des 90 derniers jours comme potentiellement exfiltré et notifier le DPO de l'organisation