PT-2021-4091 · Unknown · Nodemailer
Adam Williams
·
Publicado
2021-05-23
·
Atualizado
2021-12-10
·
CVE-2021-23400
CVSS v3.1
8.8
Alta
| Vetor | AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Versões do Nodemailer anteriores à 6.6.1
Descrição
O problema está relacionado à neutralização insuficiente de caracteres de nova linha e retorno de carro nas solicitações, o que pode levar à injeção de cabeçalho HTTP. Isso poderia permitir que um invasor remoto acessasse dados confidenciais, comprometesse a integridade dos dados e causasse uma negação de serviço. A vulnerabilidade ocorre quando uma entrada do usuário não sanitizada, que pode conter caracteres de nova linha e retorno de carro, é passada para um objeto de endereço.
Recomendações
Para versões anteriores à 6.6.1, atualize para a versão 6.6.1 ou posterior para resolver o problema. Como solução temporária, considere sanitizar as entradas do usuário para impedir a inclusão de caracteres de nova linha e retorno de carro nos objetos de endereço. Restrinja o acesso a dados confidenciais e monitore possíveis tentativas de exploração.
Exploit
Correção
Special Elements Injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Nodemailer