BDU:2015-12236

Опубликовано: 13 дек. 2015

Источник: fstec

CVSS2: 5

EPSS Низкий

Описание

Множественные уязвимости операционной системы Debian GNU/Linux существуют из-за неприятия мер по нейтрализации последовательностей CRLF (возврат каретки с переводом строки). Эксплуатация уязвимостей может позволить нарушителю, действующему удалённо, внедрить произвольные SMTP-команды через CRLF-последовательности в адресе электронного почтового ящика (class.phpmailer.php) или SMTP-команде в функции sendCommand (class.smtp.php)

Вендор

Сообщество свободного программного обеспечения

Наименование ПО

Debian GNU/Linux

Версия ПО

7 (Debian GNU/Linux)

8 (Debian GNU/Linux)

7 (Debian GNU/Linux)

6 (Debian GNU/Linux)

Тип ПО

Операционная система

Операционные системы и аппаратные платформы

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 5)

Возможные меры по устранению уязвимости

Обновление пакета libphp-phpmailer до более новой версии

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Информация об устранении отсутствует

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 76%

0.00948

Низкий

5 Medium

CVSS2

Связанные уязвимости

CVE-2015-8476

ubuntu

около 10 лет назад

Multiple CRLF injection vulnerabilities in PHPMailer before 5.2.14 allow attackers to inject arbitrary SMTP commands via CRLF sequences in an (1) email address to the validateAddress function in class.phpmailer.php or (2) SMTP command to the sendCommand function in class.smtp.php, a different vulnerability than CVE-2012-0796.