Selon CrowdSec, une vague d’exploitation ciblée de la vulnérabilité critique CVE-2026-21859 affectant Mailpit a été observée, avec une montée en puissance récente des tentatives.

• Contexte et paysage de la menace 🚨

  • Premières tentatives détectées le 11 février 2026.
  • Attaques « hautement sélectives » et à forte composante de renseignement, typiques de campagnes sophistiquées/APT cherchant un point d’appui initial ou des opportunités de mouvement latéral.
  • Plus de 130 IPs malveillantes rapportées, avec une augmentation marquée la semaine passée.

• Produit et impact

  • Mailpit est un outil de test d’e-mails et une API largement utilisé par les équipes dev/QA pour capturer les e-mails en environnement de test.
  • Bien que destiné au développement, il est souvent déployé avec accès à d’autres services internes; s’il est exposé, la faille peut en faire une porte d’entrée permettant de contourner les pare-feux et d’atteindre des infrastructures sensibles internes.

• Détails techniques de la vulnérabilité

  • Type: Server-Side Request Forgery (SSRF).
  • Versions affectées: Mailpit 1.28.0 et inférieures.
  • Vecteur: endpoint /proxy qui ne valide pas correctement la destination.
  • Mode opératoire: en envoyant des requêtes HTTP GET vers /proxy avec un paramètre url pointant des adresses internes (ex. 127.0.0.1 ou des services de métadonnées), l’application exécute la requête et retourne la réponse, permettant la cartographie du réseau interne et l’accès potentiel à des données sensibles.
  • Correctif: disponible en version 1.28.1 (validation et restrictions sur /proxy).

• Mesures proposées par la source 🛠️🛡️

  • Mettre à jour immédiatement vers Mailpit 1.28.1 ou supérieur.
  • Si Mailpit est derrière un serveur web ou reverse proxy, activer CrowdSec AppSec pour bloquer les patterns de requêtes malveillantes.
  • S’abonner à la CrowdSec Community Blocklist pour bloquer en amont les IPs connues.

• IOCs et TTPs

  • IOCs: « Plus de 130 IPs malveillantes rapportées » (non listées dans l’article).
  • TTPs: SSRF via /proxy avec paramètre url vers des IP internes / services de métadonnées; reconnaissance avancée et ciblage sélectif.

Il s’agit d’une alerte de sécurité visant à informer sur une vulnérabilité critique activement exploitée, son impact, ses mécanismes d’attaque et la disponibilité d’un correctif.

🔗 Source originale : https://www.crowdsec.net/vulntracking-report/cve-2026-21859