Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en los comandos APPEND y STATUS IMAP en Apache James (CVE-2021-40111)

Gravedad CVSS v3.1:
MEDIA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
04/01/2022
Última modificación:
12/01/2022

Descripción

En Apache James, mientras es analizado con Jazzer la pila de análisis de IMAP, detectamos que los comandos APPEND y STATUS IMAP diseñados podían ser usados para desencadenar bucles infinitos resultando en costosos cálculos de la CPU y excepciones OutOfMemory. Esto puede ser usado para un ataque de denegación de servicio. El usuario de IMAP necesita estar autenticado para explotar esta vulnerabilidad. Esto afectaba a Apache James versiones anteriores a 3.6.1. Esta vulnerabilidad ha sido parcheada en Apache James versiones 3.6.1 y superiores. Recomendamos la actualización

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:apache:james:*:*:*:*:*:*:*:* 3.6.1 (excluyendo)