← voltar
CVE-2023-27043

CVE-2023-27043

CVSS 5.3 MEDIUMEPSS 2.5%CWE-1286CWE-20
Em resumo

O módulo de email do Python interpreta incorretamente endereços de email com caracteres especiais, permitindo que invasores contornem verificações de domínio. Um atacante poderia se registrar ou acessar um sistema usando um endereço falso que parece válido, mas não vem realmente do domínio permitido.

Detalhe técnico

O analisador de email em email/_parseaddr.py do Python trata incorretamente headers RFC2822 que contêm caracteres especiais, extraindo a parte addr-spec de forma errada. Isso permite ataques de contornamento de autenticação onde filtros baseados em domínio (ex: exigir @company.example.com) podem ser burlados usando endereços malformados que são interpretados incorretamente pela aplicação.

Resumo gerado e traduzido por IA a partir da descrição oficial.
The email module of Python through 3.11.3 incorrectly parses e-mail addresses that contain a special character. The wrong portion of an RFC2822 header is identified as the value of the addr-spec. In some applications, an attacker can bypass a protection mechanism in which application access is granted only after verifying receipt of e-mail to a specific domain (e.g., only @company.example.com addresses may be used for signup). This occurs in email/_parseaddr.py in recent versions of Python.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N
Produtos afetados
n/a · n/a

Quer saber se a sua infraestrutura está exposta a isto?

Falar com a TrueHacking →
Referências
http://python.orghttps://cert-portal.siemens.com/productcert/html/ssa-202008.htmlhttps://cert-portal.siemens.com/productcert/html/ssa-577017.htmlhttp://seclists.org/fulldisclosure/2025/Apr/8https://github.com/python/cpython/issues/102988https://lists.debian.org/debian-lts-announce/2024/11/msg00024.htmlhttps://lists.debian.org/debian-lts-announce/2024/12/msg00000.htmlhttps://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/4ZAEFSFZDNBNJPNOUTLG5COISGQDLMGV/https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/75DTHSTNOFFNAWHXKMDXS7EJWC6W2FUC/https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/ARI7VDSNTQVXRQFM6IK5GSSLEIYV4VZH/https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/BQAKLUJMHFGVBRDPEY57BJGNCE5UUPHW/https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/HXYVPEZUA3465AEFX5JVFVP7KIFZMF3N/