← volver
CVE-2023-27043

CVE-2023-27043

CVSS 5.3 MEDIUMEPSS 2.5%CWE-1286CWE-20
En resumen

El módulo de email de Python interpreta incorrectamente direcciones de email que contienen caracteres especiales, permitiendo que atacantes eludan verificaciones de dominio. Un atacante podría registrarse o acceder usando una dirección falsificada que parece válida pero no proviene realmente del dominio permitido.

Detalle técnico

El analizador de email en email/_parseaddr.py de Python maneja incorrectamente headers RFC2822 que contienen caracteres especiales, causando extracción errónea de la porción addr-spec. Esto habilita ataques de elusión de autenticación donde filtros basados en dominio (ej: requerir @company.example.com) pueden ser contorneados usando direcciones malformadas que se analizan incorrectamente por la aplicación.

Resumen generado y traducido por IA a partir de la descripción oficial.
The email module of Python through 3.11.3 incorrectly parses e-mail addresses that contain a special character. The wrong portion of an RFC2822 header is identified as the value of the addr-spec. In some applications, an attacker can bypass a protection mechanism in which application access is granted only after verifying receipt of e-mail to a specific domain (e.g., only @company.example.com addresses may be used for signup). This occurs in email/_parseaddr.py in recent versions of Python.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N
Productos afectados
n/a · n/a

¿Quieres saber si tu infraestructura está expuesta a esto?

Hablar con TrueHacking →
Referencias
http://python.orghttps://cert-portal.siemens.com/productcert/html/ssa-202008.htmlhttps://cert-portal.siemens.com/productcert/html/ssa-577017.htmlhttp://seclists.org/fulldisclosure/2025/Apr/8https://github.com/python/cpython/issues/102988https://lists.debian.org/debian-lts-announce/2024/11/msg00024.htmlhttps://lists.debian.org/debian-lts-announce/2024/12/msg00000.htmlhttps://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/4ZAEFSFZDNBNJPNOUTLG5COISGQDLMGV/https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/75DTHSTNOFFNAWHXKMDXS7EJWC6W2FUC/https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/ARI7VDSNTQVXRQFM6IK5GSSLEIYV4VZH/https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/BQAKLUJMHFGVBRDPEY57BJGNCE5UUPHW/https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/HXYVPEZUA3465AEFX5JVFVP7KIFZMF3N/