漏洞详情: CVE-2024-34083

漏洞标题
STARTTLS unencrypted commands injection
来源:NVD
aiosmptd 安全漏洞
来源:CNNVD
STARTTLS未加密命令注入
来源:神龙机器人
漏洞描述
aiosmptd is a reimplementation of the Python stdlib smtpd.py based on asyncio. Prior to version 1.4.6, servers based on aiosmtpd accept extra unencrypted commands after STARTTLS, treating them as if they came from inside the encrypted connection. This could be exploited by a man-in-the-middle attack. Version 1.4.6 contains a patch for the issue.
来源:NVD
aiosmtpd是基于 asyncio 的 SMTP 服务器。 aiosmptd 1.4.6之前版本存在安全漏洞,该漏洞源于存在STARTTLS 未加密命令注入的问题。
来源:CNNVD
aiosmptd是基于asyncio对Python标准库smtpd.py的重新实现。在1.4.6版本之前,基于aiosmtpd的服务器在STARTTLS之后接受额外的未加密命令,并将它们视为加密连接内部的命令。这可能被中间人攻击利用。1.4.6版本包含了对这个问题的修复。
来源:神龙机器人
漏洞评分(CVSS)
CVSS:3.1/AV:A/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:N
来源:NVD
CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H
来源:神龙机器人, 准确率:3/8 = 37.50%
漏洞类别
在可信数据中接受外来的不可信数据
来源:NVD
其他
来源:CNNVD
相关链接