PT-2021-3385 · Dovecot+9 · Dovecot+9

Damian Poddebniak

+1

·

Publicado

2021-06-21

·

Atualizado

2025-01-30

·

CVE-2021-33515

CVSS v2.0

5.8

Média

VetorAV:N/AC:M/Au:N/C:P/I:P/A:N
Nome do software vulnerável e versões afetadas
Versões do Dovecot anteriores à 2.3.15
Descrição
O problema está relacionado ao serviço de envio do Dovecot, que permite a injeção de comandos STARTTLS na lib-smtp. Isso pode levar ao redirecionamento de informações confidenciais para um endereço controlado pelo invasor. A vulnerabilidade também está associada à neutralização incorreta de elementos especiais na saída usada pelo componente de entrada, permitindo potencialmente que um invasor remoto divulgue as credenciais do usuário.
Recomendações
Para versões anteriores à 2.3.15, atualize para a versão 2.3.15 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso ao serviço de envio até que um patch seja aplicado. Evite usar o comando STARTTLS no lib-smtp até que o problema seja resolvido.

Correção

Command Injection

Special Elements Injection

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-77CWE-74

Identificadores relacionados

ALSA-2022:1950
ALT-PU-2021-2500
ALT-PU-2021-2537
ALT-PU-2021-2548
ALT-PU-2021-2579
AZL-7196
BDU:2021-03236
CESA-2022_1950
CVE-2021-33515
DLA-3122-1
MGASA-2021-0557
OESA-2021-1270
OPENSUSE-SU-2021:0920-1
OPENSUSE-SU-2021:2123-1
OPENSUSE-SU-2021_0920-1
OPENSUSE-SU-2021_2123-1
OPENSUSE-SU-2024:10726-1
OPENSUSE-SU-2025:14715-1
RHSA-2022:1950
RHSA-2022_1950
RLSA-2022:1950
SUSE-SU-2021:2122-1
SUSE-SU-2021:2123-1
SUSE-SU-2021:2124-1
USN-4993-1

Produtos afetados

Alt Linux
Almalinux
Astra Linux
Centos
Dovecot
Linuxmint
Red Hat
Rocky Linux
Suse
Ubuntu