PT-2024-14283 · Apache · Apache James
Benoit Tellier
+1
·
Publicado
2024-02-27
·
Atualizado
2025-05-05
·
CVE-2023-51747
CVSS v3.1
7.1
Alta
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:H/A:N |
Nome do software vulnerável e versões afetadas
Versões do Apache James anteriores à 3.8.1 e à 3.7.5
Descrição
Um comportamento permissivo no tratamento do delimitador de linha pode criar uma diferença de interpretação entre o remetente e o destinatário, o que pode ser explorado por um invasor para falsificar um envelope SMTP, permitindo, por exemplo, contornar as verificações SPF. O problema está relacionado à imposição do CRLF como delimitador de linha como parte da transação DATA.
Recomendações
Para versões anteriores à 3.8.1, atualize para a versão 3.8.1 ou posterior.
Para versões anteriores à 3.7.5, atualize para a versão 3.7.5 ou posterior.
Correção
Authentication Bypass by Spoofing
RCE
HTTP Request/Response Smuggling
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Apache James