nginx SMTP代理服务器操作系统命令注入漏洞 CVE-2014-3556 CNNVD-201408-095
6.8
AV
AC
AU
C
I
A
发布:
2014-12-29
修订:
2021-11-10
nginx是由俄罗斯的程序设计师Igor Sysoev所开发的一款轻量级Web服务器/反向代理服务器及电子邮件(IMAP/POP3)代理服务器。 nginx的SMTP代理服务器的mail/ngx_mail_smtp_handler.c文件中的STARTTLS实现存在安全漏洞,该漏洞源于程序没有正确限制I/O缓冲。攻击者可通过发送明文命令利用该漏洞实施中间人攻击,在加密的SMTP会话中插入命令。以下版本受到影响:nginx 1.5.x版本,1.6.0版本,1.6.1版本,1.7.0版本至1.7.3版本。
漏洞利用/PoC
当前有1条漏洞利用/PoC
受影响的平台与产品
当前有21条受影响产品信息
