Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en el uso del comando STARTTLS en Apache James (CVE-2021-38542)

Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-327 Uso de algoritmo criptográfico vulnerable o inseguro
Fecha de publicación:
04/01/2022
Última modificación:
27/10/2022

Descripción

Apache James versiones anteriores a 3.6.1, es vulnerable a un ataque de buffering que es basado en el uso del comando STARTTLS. Esto puede resultar en ataques de inyección de comandos de tipo "Man-in-the-middle", conllevando potencialmente a un filtrado de información confidencial

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:apache:james:*:*:*:*:*:*:*:* 3.6.1 (excluyendo)