CVE-2025-59937

Nome do Software Vulnerável e Versões Afetadas go-mail versões 0.7.0 e anteriores

Descrição A biblioteca go-mail manipula incorretamente os valores mail.Address quando passados aos comandos MAIL FROM ou RCPT TO do cliente SMTP. Isso pode levar ao roteamento incorreto de endereços ou ao contrabando de parâmetros ESMTP. A exploração bem-sucedida requer que o código do usuário permita a entrada de endereços de e-mail arbitrários. O problema origina-se do uso do valor bruto do Address em vez do método String(), que aplica escape e aspas corretamente nos endereços de e-mail. Especificamente, um endereço de e-mail forjado como "toni.tester@example.com> ORCPT=admin@admin.com"@example.com poderia ser mal interpretado pelo servidor SMTP, potencialmente roteando e-mails para destinatários não intencionais ou permitindo a injeção de comandos SMTP adicionais.

Recomendações Atualize para a versão 0.7.1 ou posterior.