Nome do software vulnerável e versões afetadas:

zend-mail (versões afetadas não especificadas)

Descrição:

A vulnerabilidade permite que um usuário mal-intencionado injete parâmetros arbitrários no programa sendmail do sistema ao usar o componente zend-mail para enviar e-mails via o transporte ZendMailTransportSendmail. Isso é feito através da inserção de caracteres de aspas adicionais dentro de um endereço, que podem ser interpretados como argumentos de linha de comando adicionais quando não sanitizados. A vulnerabilidade é demonstrada por meio de um exemplo em que um usuário mal-intencionado injeta parâmetros no binário sendmail por meio do endereço “De”. O ataque funciona porque o zend-mail filtra endereços de e-mail usando a especificação RFC 3696, que considera a string “AAA” injeção de parâmetros”@domínio um endereço válido.

Recomendações:

No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.