CVE-2022-24838
Command Injection in Appointment Emails for Nextcloud Calendar
Em resumo
O Nextcloud Calendar possui uma falha que permite atacantes injetar comandos maliciosos em emails de agendamentos através de caracteres especiais. Um invasor pode explorar isso para enviar emails não autorizados ou manipular a entrega de mensagens.
Detalhe técnico
A vulnerabilidade CWE-74 ocorre no endpoint de email de agendamentos, onde quebras de linha e caracteres especiais nos valores de email do JSON não são sanitizados antes de serem passados aos comandos SMTP. Um atacante pode injetar diretivas SMTP arbitrárias via campo RCPT TO, potencialmente causando relay não autorizado ou interceptação de mensagens.
Resumo gerado e traduzido por IA a partir da descrição oficial.
Nextcloud Calendar is a calendar application for the nextcloud framework. SMTP Command Injection in Appointment Emails via Newlines: as newlines and special characters are not sanitized in the email value in the JSON request, a malicious attacker can inject newlines to break out of the `RCPT TO:<BOOKING USER'S EMAIL> ` SMTP command and begin injecting arbitrary SMTP commands. It is recommended that Calendar is upgraded to 3.2.2. There are no workaround available.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N
Produtos afetados
nextcloud · security-advisoriesQuer saber se a sua infraestrutura está exposta a isto?
Falar com a TrueHacking →