Vulnerabilidad en aiosmtpd (CVE-2024-27305)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-345
Verificación insuficiente de autenticidad de los datos
Fecha de publicación:
12/03/2024
Última modificación:
22/01/2025
Descripción
aiosmtpd es una reimplementación de Python stdlib smtpd.py basada en asyncio. aiosmtpd es vulnerable al contrabando SMTP entrante. El contrabando SMTP es una vulnerabilidad novedosa basada en diferencias de interpretación no tan novedosas del protocolo SMTP. Al explotar el contrabando SMTP, un atacante puede enviar correos electrónicos de contrabando/falsificación con direcciones de remitente falsas, lo que permite ataques de phishing avanzados. Este problema también existe en otro software SMTP como Postfix. Con la constelación de servidores SMTP adecuada, un atacante puede enviar correos electrónicos falsificados a instancias entrantes/receptoras de aiosmtpd. Este problema se solucionó en la versión 1.4.5. Se recomienda a los usuarios que actualicen. No se conocen workarounds para esta vulnerabilidad.
Impacto
Puntuación base 3.x
5.30
Gravedad 3.x
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:aio-libs:aiosmtpd:*:*:*:*:*:*:*:* | 1.4.5 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://github.com/aio-libs/aiosmtpd/commit/24b6c79c8921cf1800e27ca144f4f37023982bbb
- https://github.com/aio-libs/aiosmtpd/security/advisories/GHSA-pr2m-px7j-xg65
- https://www.postfix.org/smtp-smuggling.html
- https://github.com/aio-libs/aiosmtpd/commit/24b6c79c8921cf1800e27ca144f4f37023982bbb
- https://github.com/aio-libs/aiosmtpd/security/advisories/GHSA-pr2m-px7j-xg65
- https://www.postfix.org/smtp-smuggling.html