Remitente original del informe: Olaf Kirch <okir@lst.de>
El agujero puede ser explotable si deja que metamail corra showext para mensajes de tipo message/external-body. Al menos tcsh, y posiblemente algunos otros cshs (shells de tipo csh), parecen hacer cosas extrañas al expandir las líneas de comando de los argumentos. Si da a un script un argumento de "fulanito FTP=/tmp/comandomalvado", y hace
set var=$1
esto le asignará fulanito a $var, y /tmp/comandomalvado a $FTP. Desafortunadamente, metamail invoca showext con los atributos MIME en la línea de comando, así que básicamente manda una cabecera como esta
Content-type: message/external-body; access-type="anon-ftp"; name="contraseña"; site="monad.swb.de"; directory="/etc"; mode="image FTP=/tmp/comandomalvado"
Incluso más, el script ejecutará $FTP para iniciar la conexión FTP. Hasta ahora, no he sido capaz de pasar argumentos al comando, pero eso no significa que no se puedan hacer cosas interesantes con lo de arriba.
[Parche borrado debido a la edad.]