GHSA-c7w3-x93f-qmm8
NiskieStreszczenie
Podatność występuje, gdy niestandardowy obiekt `envelope` przekazywany do `sendMail()` zawiera właściwość `size` z znakami CRLF (` `). Wartość ta jest bezpośrednio łączona z komendą SMTP `MAIL FROM` bez sanitizacji, co umożliwia wstrzykiwanie dowolnych komend SMTP.
Ocena ryzyka
Atakujący może wykorzystać tę podatność do wstrzykiwania komend SMTP, co może prowadzić do nieautoryzowanego dostępu lub manipulacji wiadomościami e-mail w systemie.
Rekomendacja
Zaleca się sanitizację wartości przekazywanych do komendy `MAIL FROM`, aby zapobiec wstrzykiwaniu komend SMTP. Należy również rozważyć walidację danych wejściowych w obiekcie `envelope`.
Oryginalny opis (angielski, źródło NVD)
### Summary When a custom `envelope` object is passed to `sendMail()` with a `size` property containing CRLF characters (`\r\n`), the value is concatenated directly into the SMTP `MAIL FROM` command without sanitization. This allows injection of arbitrary SMTP commands, including `RCPT TO` — silentl

