Michael Lescisin

**Nome do software vulnerável e versões afetadas: Apache Sling Commons Messaging Mail versão 1.0 Descrição: O problema diz respeito à ausência de uma opção para habilitar verificações de identidade do servidor para a sessão de e-mail compartilhada no Apache Sling Commons Messaging Mail. Isso aumenta o risco de ataques do tipo “man-in-the-middle” ao acessar servidores de e-mail via SMTPS. Por motivos de compatibilidade, essas verificações estão desativadas por padrão no JavaMail/Jakarta Mail. No entanto, um usuário pode ativar essas verificações acessando a sessão por meio da mensagem criada pelo SimpleMessageBuilder e definindo a propriedade `mail.smtps.ssl.checkserveridentity` como true. Recomendações: Para o Apache Sling Commons Messaging Mail versão 1.0, considere atualizar para a versão 2.0, que adiciona suporte para habilitar verificações de identidade do servidor por padrão. Como solução alternativa temporária para a versão 1.0, os usuários podem habilitar verificações de identidade do servidor acessando a sessão por meio da mensagem criada pelo SimpleMessageBuilder e definindo a propriedade `mail.smtps.ssl.checkserveridentity` como true.