CVE-2026-41319

Nome do Software Vulnerável e Versões Afetadas MailKit versões anteriores a 4.16.0

Descrição Um problema de Injeção de Resposta STARTTLS permite que um atacante Man-in-the-Middle injete respostas de protocolo arbitrárias através da fronteira de confiança plaintext-to-TLS. Isso pode permitir a redução do mecanismo de autenticação SASL, como forçar o uso de PLAIN em vez de SCRAM-SHA-256. O problema ocorre porque o buffer de leitura interno em SmtpStream, ImapStream e Pop3Stream não é limpo quando o fluxo subjacente é substituído por SslStream durante a atualização STARTTLS, fazendo com que dados injetados pelo atacante antes do TLS sejam processados como respostas confiáveis pós-TLS.

Recomendações Atualizar para a versão 4.16.0.