Katalog CVE

GHSA-c7w3-x93f-qmm8

Niskie
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

Podatność występuje, gdy niestandardowy obiekt `envelope` przekazywany do `sendMail()` zawiera właściwość `size` z znakami CRLF (` `). Wartość ta jest bezpośrednio łączona z komendą SMTP `MAIL FROM` bez sanitizacji, co umożliwia wstrzykiwanie dowolnych komend SMTP.

Ocena ryzyka

Atakujący może wykorzystać tę podatność do wstrzykiwania komend SMTP, co może prowadzić do nieautoryzowanego dostępu lub manipulacji wiadomościami e-mail w systemie.

Rekomendacja

Zaleca się sanitizację wartości przekazywanych do komendy `MAIL FROM`, aby zapobiec wstrzykiwaniu komend SMTP. Należy również rozważyć walidację danych wejściowych w obiekcie `envelope`.

Oryginalny opis (angielski, źródło NVD)

### Summary When a custom `envelope` object is passed to `sendMail()` with a `size` property containing CRLF characters (`\r\n`), the value is concatenated directly into the SMTP `MAIL FROM` command without sanitization. This allows injection of arbitrary SMTP commands, including `RCPT TO` — silentl

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS