漏洞信息
# N/A
在Postfix 2.4.16之前,2.4.17之前,2.5.12之前,2.6.9之前和2.7.3之前版本的STARTTLS实现未正确限制I/O缓冲区,这允许中间人攻击者通过发送一个在TLS设置之后处理 cleartext 命令的文本命令,插入命令到加密的SMTP会话中,涉及“文本命令注入”攻击。
备注
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
N/A
漏洞描述信息
The STARTTLS implementation in Postfix 2.4.x before 2.4.16, 2.5.x before 2.5.12, 2.6.x before 2.6.9, and 2.7.x before 2.7.3 does not properly restrict I/O buffering, which allows man-in-the-middle attackers to insert commands into encrypted SMTP sessions by sending a cleartext command that is processed after TLS is in place, related to a "plaintext command injection" attack.
CVSS信息
N/A
漏洞类别
N/A
漏洞标题
Postfix STARTTLS实现明文命令注入漏洞
漏洞描述信息
Postfix是Unix类操作系统中所使用的邮件传输代理。 Postfix 2.4.16之前的2.4.x版本,2.5.12之前的2.5.x版本,2.6.9之前的2.6.x版本,以及2.7.3之前的2.7.x版本中的STARTTLS实现没有正确限制I/O缓冲作用。中间人攻击者可以通过发送明文命令(在TLS就位后得到处理),向加密的SMTP会话注入任意命令。
CVSS信息
N/A
漏洞类别
权限许可和访问控制问题