CVE-2022-24838

Versões do Nextcloud Calendar anteriores à 3.2.2

O problema diz respeito à injeção de comandos SMTP em e-mails de compromissos. Ele ocorre porque as quebras de linha e os caracteres especiais no valor do e-mail dentro da solicitação JSON não são sanitizados. Isso permite que um invasor mal-intencionado injete novas linhas, saindo do comando SMTP RCPT TO:<EMAIL DO USUÁRIO DA RESERVA> e possibilitando a injeção de comandos SMTP arbitrários.

Para versões anteriores à 3.2.2, atualize para a versão 3.2.2 para resolver o problema.

No momento, não há soluções alternativas disponíveis para este problema.