CVE-2022-24838

Опубликовано: 11 апр. 2022

Источник: nvd

CVSS3: 5.3

CVSS3: 9.8

CVSS2: 7.5

EPSS Низкий

Описание

Nextcloud Calendar is a calendar application for the nextcloud framework. SMTP Command Injection in Appointment Emails via Newlines: as newlines and special characters are not sanitized in the email value in the JSON request, a malicious attacker can inject newlines to break out of the RCPT TO:<BOOKING USER'S EMAIL> SMTP command and begin injecting arbitrary SMTP commands. It is recommended that Calendar is upgraded to 3.2.2. There are no workaround available.

Ссылки

https://github.com/nextcloud/calendar/commit/7b70edfb8a0fcf0926f613ababcbd56c6ecd9f35
Patch
Third Party Advisory
https://github.com/nextcloud/calendar/pull/4073
Patch
Third Party Advisory
https://github.com/nextcloud/security-advisories/security/advisories/GHSA-8xv5-4855-24qf
Third Party Advisory
https://github.com/nextcloud/calendar/commit/7b70edfb8a0fcf0926f613ababcbd56c6ecd9f35
Patch
Third Party Advisory
https://github.com/nextcloud/calendar/pull/4073
Patch
Third Party Advisory
https://github.com/nextcloud/security-advisories/security/advisories/GHSA-8xv5-4855-24qf
Third Party Advisory

Уязвимые конфигурации

Конфигурация 1

cpe:2.3:a:nextcloud:calendar:*:*:*:*:*:*:*:*

Версия до 3.2.2 (исключая)

EPSS

Процентиль: 92%

0.09042

Низкий

5.3 Medium

CVSS3

9.8 Critical

CVSS3

7.5 High

CVSS2

Дефекты

CWE-74

Связанные уязвимости

ROS-20250326-10

CVSS3: 9.8

redos

3 месяца назад

Уязвимость nextcloud

BDU:2025-03807

CVSS3: 9.8

fstec

около 3 лет назад

Уязвимость приложения Nextcloud calendar облачного программного обеспечения для создания и использования хранилища данных Nextcloud, связанная с неверной нейтрализацией особых элементов в выходных данных, позволяющая нарушителю внедрять произвольные SMTP-команды

EPSS

Процентиль: 92%

0.09042

Низкий

5.3 Medium

CVSS3

9.8 Critical

CVSS3

7.5 High

CVSS2

Дефекты

CWE-74