Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2025-14439

Опубликовано: 15 окт. 2025
Источник: fstec
CVSS3: 5.3
CVSS2: 5
EPSS Низкий

Описание

Уязвимость сетевого программного средства Netty связана с непринятием мер по чистке данных на управляющем уровне. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнять произвольные SMTP-команды

Вендор

ООО «Ред Софт»
Apache Software Foundation

Наименование ПО

РЕД ОС
netty

Версия ПО

7.3 (РЕД ОС)
до 4.1.128 (netty)
от 4.2.0 до 4.2.7 (netty)

Тип ПО

Операционная система
Сетевое программное средство

Операционные системы и аппаратные платформы

ООО «Ред Софт» РЕД ОС 7.3

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 5)
Средний уровень опасности (базовая оценка CVSS 3.1 составляет 5,3)

Возможные меры по устранению уязвимости

Использование рекомендаций:
https://github.com/netty/netty/commit/1782e8c2060a244c4d4e6f9d9112d5517ca05120
https://github.com/netty/netty/security/advisories/GHSA-jq43-27x9-3v86
Для РедОС:
https://redos.red-soft.ru/support/secure/uyazvimosti/uyazvimost-netty-cve-2025-59419/?sphrase_id=1346160

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 87%
0.03365
Низкий

5.3 Medium

CVSS3

5 Medium

CVSS2

Связанные уязвимости

redos логотип

ROS-20251106-02

CVSS3: 5.3
redos
2 месяца назад

Уязвимость netty

ubuntu логотип

CVE-2025-59419

ubuntu
3 месяца назад

Netty is an asynchronous, event-driven network application framework. In versions prior to 4.1.128.Final and 4.2.7.Final, the SMTP codec in Netty contains an SMTP command injection vulnerability due to insufficient input validation for Carriage Return (\r) and Line Feed (\n) characters in user-supplied parameters. The vulnerability exists in io.netty.handler.codec.smtp.DefaultSmtpRequest, where parameters are directly concatenated into the SMTP command string without sanitization. When methods such as SmtpRequests.rcpt(recipient) are called with a malicious string containing CRLF sequences, attackers can inject arbitrary SMTP commands. Because the injected commands are sent from the server's trusted IP address, resulting emails will likely pass SPF and DKIM authentication checks, making them appear legitimate. This allows remote attackers who can control SMTP command parameters (such as email recipients) to forge arbitrary emails from the trusted server, potentially impersonating ex...

nvd логотип

CVE-2025-59419

nvd
3 месяца назад

Netty is an asynchronous, event-driven network application framework. In versions prior to 4.1.128.Final and 4.2.7.Final, the SMTP codec in Netty contains an SMTP command injection vulnerability due to insufficient input validation for Carriage Return (\r) and Line Feed (\n) characters in user-supplied parameters. The vulnerability exists in io.netty.handler.codec.smtp.DefaultSmtpRequest, where parameters are directly concatenated into the SMTP command string without sanitization. When methods such as SmtpRequests.rcpt(recipient) are called with a malicious string containing CRLF sequences, attackers can inject arbitrary SMTP commands. Because the injected commands are sent from the server's trusted IP address, resulting emails will likely pass SPF and DKIM authentication checks, making them appear legitimate. This allows remote attackers who can control SMTP command parameters (such as email recipients) to forge arbitrary emails from the trusted server, potentially impersonating execu

debian логотип

CVE-2025-59419

debian
3 месяца назад

Netty is an asynchronous, event-driven network application framework. ...

suse-cvrf логотип

SUSE-SU-2025:4087-1

suse-cvrf
2 месяца назад

Security update for netty, netty-tcnative

EPSS

Процентиль: 87%
0.03365
Низкий

5.3 Medium

CVSS3

5 Medium

CVSS2