漏洞标题
N/A
漏洞描述信息
## 漏洞概述
Postfix的STARTTLS实现存在一个漏洞,允许中间人攻击者在加密的SMTP会话中插入命令。
## 影响版本
- Postfix 2.4.x 低于 2.4.16
- Postfix 2.5.x 低于 2.5.12
- Postfix 2.6.x 低于 2.6.9
- Postfix 2.7.x 低于 2.7.3
## 漏洞细节
该漏洞源于I/O缓冲区控制不当,导致中间人攻击者可以通过发送明文命令,在TLS建立后处理该命令,从而实现“明文命令注入”攻击。
## 漏洞影响
攻击者可以利用此漏洞向加密的SMTP会话中插入命令,可能影响邮件的安全性和完整性。
CVSS信息
CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H
漏洞类别
N/A
漏洞标题
N/A
漏洞描述信息
The STARTTLS implementation in Postfix 2.4.x before 2.4.16, 2.5.x before 2.5.12, 2.6.x before 2.6.9, and 2.7.x before 2.7.3 does not properly restrict I/O buffering, which allows man-in-the-middle attackers to insert commands into encrypted SMTP sessions by sending a cleartext command that is processed after TLS is in place, related to a "plaintext command injection" attack.
CVSS信息
N/A
漏洞类别
N/A
漏洞标题
Postfix STARTTLS实现明文命令注入漏洞
漏洞描述信息
Postfix是Unix类操作系统中所使用的邮件传输代理。 Postfix 2.4.16之前的2.4.x版本,2.5.12之前的2.5.x版本,2.6.9之前的2.6.x版本,以及2.7.3之前的2.7.x版本中的STARTTLS实现没有正确限制I/O缓冲作用。中间人攻击者可以通过发送明文命令(在TLS就位后得到处理),向加密的SMTP会话注入任意命令。
CVSS信息
N/A
漏洞类别
权限许可和访问控制问题