Vulnerabilidad en Apache James (CVE-2023-51747)
Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-20
Validación incorrecta de entrada
Fecha de publicación:
27/02/2024
Última modificación:
05/05/2025
Descripción
Apache James anterior a las versiones 3.8.1 y 3.7.5 es vulnerable al contrabando SMTP. Un comportamiento indulgente en el manejo del delimitador de línea podría crear una diferencia de interpretación entre el remitente y el receptor que un atacante puede aprovechar para falsificar un sobre SMTP, permitiendo, por ejemplo, eludir las comprobaciones SPF. El parche implica la aplicación de CRLF como delimitador de línea como parte de la transacción de DATOS. Recomendamos a los usuarios de James que actualicen a versiones no vulnerables.
Impacto
Puntuación base 3.x
7.10
Gravedad 3.x
ALTA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:apache:james:3.7.5:*:*:*:*:*:*:* | ||
| cpe:2.3:a:apache:james:3.8.1:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- http://www.openwall.com/lists/oss-security/2024/02/27/4
- https://lists.apache.org/thread/rxkwbkh9vgbl9rzx1fkllyk3krhgydko
- https://postfix.org/smtp-smuggling.html
- https://sec-consult.com/blog/detail/smtp-smuggling-spoofing-e-mails-worldwide/
- http://www.openwall.com/lists/oss-security/2024/02/27/4
- https://lists.apache.org/thread/rxkwbkh9vgbl9rzx1fkllyk3krhgydko
- https://postfix.org/smtp-smuggling.html
- https://sec-consult.com/blog/detail/smtp-smuggling-spoofing-e-mails-worldwide/