Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en aiosmtpd (CVE-2024-27305)

Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-345 Verificación insuficiente de autenticidad de los datos
Fecha de publicación:
12/03/2024
Última modificación:
22/01/2025

Descripción

aiosmtpd es una reimplementación de Python stdlib smtpd.py basada en asyncio. aiosmtpd es vulnerable al contrabando SMTP entrante. El contrabando SMTP es una vulnerabilidad novedosa basada en diferencias de interpretación no tan novedosas del protocolo SMTP. Al explotar el contrabando SMTP, un atacante puede enviar correos electrónicos de contrabando/falsificación con direcciones de remitente falsas, lo que permite ataques de phishing avanzados. Este problema también existe en otro software SMTP como Postfix. Con la constelación de servidores SMTP adecuada, un atacante puede enviar correos electrónicos falsificados a instancias entrantes/receptoras de aiosmtpd. Este problema se solucionó en la versión 1.4.5. Se recomienda a los usuarios que actualicen. No se conocen workarounds para esta vulnerabilidad.

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:aio-libs:aiosmtpd:*:*:*:*:*:*:*:* 1.4.5 (excluyendo)