CVE-2021-44549

**Nome do software vulnerável e versões afetadas:

Apache Sling Commons Messaging Mail versão 1.0

Descrição:

O problema diz respeito à ausência de uma opção para habilitar verificações de identidade do servidor para a sessão de e-mail compartilhada no Apache Sling Commons Messaging Mail. Isso aumenta o risco de ataques do tipo “man-in-the-middle” ao acessar servidores de e-mail via SMTPS. Por motivos de compatibilidade, essas verificações estão desativadas por padrão no JavaMail/Jakarta Mail. No entanto, um usuário pode ativar essas verificações acessando a sessão por meio da mensagem criada pelo SimpleMessageBuilder e definindo a propriedade mail.smtps.ssl.checkserveridentity como true.

Recomendações:

Para o Apache Sling Commons Messaging Mail versão 1.0, considere atualizar para a versão 2.0, que adiciona suporte para habilitar verificações de identidade do servidor por padrão.

Como solução alternativa temporária para a versão 1.0, os usuários podem habilitar verificações de identidade do servidor acessando a sessão por meio da mensagem criada pelo SimpleMessageBuilder e definindo a propriedade mail.smtps.ssl.checkserveridentity como true.