CVE Catalog
EnglishPolski(English translation not available — showing Polish)

GHSA-c7w3-x93f-qmm8

Low
Published: Translated: NVD NIST

Summary

Podatność występuje, gdy niestandardowy obiekt `envelope` przekazywany do `sendMail()` zawiera właściwość `size` z znakami CRLF (` `). Wartość ta jest bezpośrednio łączona z komendą SMTP `MAIL FROM` bez sanitizacji, co umożliwia wstrzykiwanie dowolnych komend SMTP.

Risk Assessment

Atakujący może wykorzystać tę podatność do wstrzykiwania komend SMTP, co może prowadzić do nieautoryzowanego dostępu lub manipulacji wiadomościami e-mail w systemie.

Recommendation

Zaleca się sanitizację wartości przekazywanych do komendy `MAIL FROM`, aby zapobiec wstrzykiwaniu komend SMTP. Należy również rozważyć walidację danych wejściowych w obiekcie `envelope`.

Original NVD description (English source)

### Summary When a custom `envelope` object is passed to `sendMail()` with a `size` property containing CRLF characters (`\r\n`), the value is concatenated directly into the SMTP `MAIL FROM` command without sanitization. This allows injection of arbitrary SMTP commands, including `RCPT TO` — silentl

Vulnerability data from NVD (NIST) · CISA KEV · EPSS