SEPPMail : 7 CVE critiques menacent les passerelles email

Sept failles critiques divulguees dans SEPPMail Secure E-Mail Gateway

Le 19 mai 2026, les chercheurs d InfoGuard Labs ont publie les details techniques de sept vulnerabilites decouvertes dans SEPPMail Secure E-Mail Gateway, une appliance virtuelle de securite email utilisee par des milliers d organisations en Europe, notamment en Suisse, en Allemagne, en Autriche et en France. SEPPMail est un outil de securisation des echanges email qui assure le chiffrement de bout en bout, la signature numerique et la conformite RGPD pour les communications sensibles. Son deploiement est particulierement repandu dans les secteurs qui traitent des donnees confidentielles par email : sante, droit, finance, administration publique et industrie. Ces organisations font confiance a la passerelle pour proteger leurs communications les plus sensibles, ce qui en fait une cible de choix pour tout acteur cherchant a intercepter des informations confidentielles a haute valeur.

La plus severe des sept vulnerabilites est CVE-2026-2743, avec un score CVSS de 10.0 — le maximum de l echelle. Cette faille affecte la fonctionnalite LFT (Large File Transfer) de l interface web utilisateur de SEPPMail. Une traversee de repertoire (path traversal) dans le traitement des parametres de requete permet a un attaquant non authentifie d ecrire des fichiers arbitraires a n importe quel emplacement du systeme de fichiers de l appliance. En combinant cette ecriture de fichiers avec les emplacements de configuration ou les repertoires d execution de SEPPMail, un attaquant obtient l execution de code arbitraire a distance sans aucune authentification prealable. La nature de l appliance — souvent exposee directement sur Internet pour recevoir les emails entrants — rend cette vulnerabilite particulierement dangereuse et exploitable a grande echelle par n importe quel acteur malveillant.

CVE-2026-44128 est la deuxieme faille la plus critique : une injection de code Perl dans un composant de l interface administrative, exploitable sans authentification pour obtenir un RCE complet. SEPPMail est base sur une infrastructure Perl cote serveur, et cette vulnerabilite permet d injecter des commandes Perl arbitraires via des parametres de requete HTTP non correctement valides. L exploitation reussie donne a l attaquant les droits d execution du processus SEPPMail sur le serveur hote, ouvrant la voie a une compromission complete de l appliance, a l acces aux emails en transit et a la possibilite de pivoter vers d autres systemes du reseau interne. Cette CVE a ete corrigee des la version 15.0.2.1, anterieurement aux autres correctifs.

CVE-2026-44127 est une vulnerabilite d inclusion de fichiers locaux (LFI). Elle permet d acceder a des fichiers arbitraires sur l appliance, y compris des fichiers de configuration contenant des identifiants, des cles cryptographiques et potentiellement le contenu d emails stockes temporairement. Combinee a CVE-2026-44128, cette faille peut servir de premiere etape dans une chaine d exploitation permettant d elever les privileges ou de preparer une attaque plus ciblee contre l infrastructure sous-jacente.

CVE-2026-7864, avec un score CVSS de 6.9, est une vulnerabilite de divulgation d informations sensibles. Un endpoint non authentifie dans la nouvelle interface GINA (Graphical Identification and Authentication) expose les variables d environnement du serveur, incluant potentiellement des chemins de configuration, des tokens de session et des informations sur la version exacte du systeme. Ces informations facilitent considerablement le travail de reconnaissance d un attaquant en lui permettant d identifier precisement la version vulnerable deployee et d ajuster l exploitation. Les trois vulnerabilites restantes (CVE-2026-27441, CVE-2026-27443, CVE-2026-29136) couvrent des injections de commandes, une validation d entrees insuffisante et une autorisation defaillante dans differents composants de l interface d administration.

InfoGuard Labs a contacte SEPPMail selon un processus de divulgation coordonnee (responsible disclosure), ce qui explique que les correctifs soient disponibles au moment de la publication des details techniques. La chronologie des corrections suit les versions : CVE-2026-44128 a ete corrige en version 15.0.2.1, CVE-2026-44126 en version 15.0.3, et les vulnerabilites restantes incluant CVE-2026-2743 (CVSS 10.0) en version 15.0.4. Toutes les instances inferieures a 15.0.4 restent vulnerables a au moins une partie de ces failles.

Le vecteur d attaque est particulierement preoccupant : SEPPMail est typiquement deploye comme reverse proxy email directement accessible depuis Internet, recevant les messages entrants et les transmettant apres traitement de securite. Cela signifie que CVE-2026-2743 (CVSS 10.0) peut etre exploite sans aucune interaction avec un utilisateur interne, par n importe quel attaquant externe cherchant a compromettre la passerelle depuis Internet. Une exploitation reussie permettrait d intercepter l ensemble des emails entrants et sortants transitant par la passerelle, y compris les communications chiffrees une fois dechiffrees cote serveur pour traitement. C est un acces de niveau maximal au flux de communication de l organisation.

A l heure de la publication par InfoGuard Labs, aucune exploitation active dans la nature n avait ete confirmee. Cependant, avec la divulgation publique des details techniques incluant le mecanisme precis de traversee de repertoire pour CVE-2026-2743, il est raisonnable d anticiper que des acteurs malveillants developperont des exploits operationnels dans les heures ou jours suivant la publication. Les passerelles email sont des cibles particulierement attractives pour les groupes d espionnage et les operateurs de ransomware, qui cherchent a intercepter des communications confidentielles ou a s etablir dans l infrastructure d une organisation avant de deployer leur charge utile.

Pourquoi la securite des passerelles email reste un maillon faible des organisations

Les passerelles email securisees representent un angle mort recurrent dans la posture de securite des entreprises. Ces appliances sont par nature exposees a Internet car elles doivent recevoir les emails du monde entier. Elles traitent des donnees extremement sensibles : l integralite des communications de l organisation. Et elles sont souvent considerees comme des boites noires que les equipes IT evitent de modifier une fois configurees, ce qui se traduit par des cycles de mise a jour lents et des versions vulnerables maintenues en production pendant de longues periodes. Cette combinaison d exposition maximale, de donnees critiques et de maintenance minimale en fait une cible structurellement privilegiee pour les attaquants avances.

Le profil de clientele de SEPPMail amplifie ce risque. L outil est particulierement adopte par des organisations qui traitent des donnees de haute sensibilite : cabinets d avocats gerant des communications sous secret professionnel, etablissements de sante transmettant des donnees patient, etudes notariales, entreprises industrielles echangeant des plans techniques et des secrets de fabrication. Une compromission de la passerelle ne se limiterait pas a l acces au serveur : elle donnerait acces a l integralite des emails entrants et sortants, y compris les messages chiffres une fois dechiffres cote serveur. C est exactement le type d acces que recherchent les operateurs d espionnage industriel ou les groupes APT ciblant l Europe, notamment des acteurs comme Turla, APT29 ou Fancy Bear qui ont historiquement cible des cibles europeennes de haut profil.

Cette divulgation s inscrit dans une tendance plus large de ciblage des equipements de securite perimetrique par les groupes d attaquants avances. En 2024 et 2025, des vulnerabilites critiques dans Ivanti Connect Secure, Palo Alto GlobalProtect, Fortinet FortiOS et Citrix NetScaler avaient ete exploitees en zero-day par des groupes APT avant que les patches ne soient disponibles. Le pattern se repete : les attaquants savent que les appliances reseau et de securite sont moins bien surveillees que les serveurs d application classiques, disposent d un acces privilegie aux donnees sensibles et sont mises a jour moins frequemment. Pour SEPPMail, la fenetre entre la publication des details techniques et une premiere exploitation potentielle sera probablement courte.

Pour les organisations utilisant SEPPMail, la reponse est simple : mettre a jour vers la version 15.0.4 en urgence. Pour celles qui ne peuvent pas patcher immediatement, des mitigations temporaires incluent la restriction des acces a l interface d administration aux seuls reseaux internes de confiance, la desactivation temporaire de la fonctionnalite LFT si elle n est pas critique, et la mise en place d une surveillance accrue des logs de l appliance pour detecter des tentatives d exploitation. Ces mitigations ne remplacent pas le patch : elles reduisent la surface d attaque en attendant la mise a jour, qui doit rester la priorite absolue pour toutes les equipes de securite concernees.

Ce qu il faut retenir

• SEPPMail Gateway est affectee par 7 CVE dont CVE-2026-2743 (CVSS 10.0, RCE sans authentification via path traversal LFT) : la mise a jour vers la version 15.0.4 est urgente pour toutes les instances exposees a Internet.
• La surface d attaque est maximale : l appliance est directement exposee sur Internet, les emails transitent en clair apres dechiffrement cote serveur, et les secteurs cibles (sante, droit, finance) sont prioritaires pour les groupes d espionnage APT.
• En attendant le patch, desactivez l acces a l administration depuis Internet et la fonctionnalite LFT pour reduire le risque lie a CVE-2026-2743, et activez une surveillance renforcee des logs SEPPMail.