CVE-2021-44549 in Sling Commons Messaging Mailinformation

Résumé

par VulDB • 20/05/2026

Apache Sling Commons Messaging Mail fournit une couche simple au-dessus de JavaMail/Jakarta Mail pour OSGi afin d'envoyer des e-mails via SMTPS. Afin de réduire le risque d'attaques de type « man in the middle » (homme du milieu), des vérifications supplémentaires de l'identité du serveur doivent être effectuées lors de l'accès aux serveurs de messagerie. Pour des raisons de compatibilité, ces vérifications supplémentaires sont désactivées par défaut dans JavaMail/Jakarta Mail. Le SimpleMailService dans Apache Sling Commons Messaging Mail 1.0 ne dispose pas d'une option permettant d'activer ces vérifications pour la session de messagerie partagée. Un utilisateur peut néanmoins activer ces vérifications en accédant à la session via le message créé par SimpleMessageBuilder et en définissant la propriété mail.smtps.ssl.checkserveridentity sur true. Apache Sling Commons Messaging Mail 2.0 ajoute la prise en charge de l'activation des vérifications de l'identité du serveur, et ces vérifications sont activées par défaut. - https://javaee.github.io/javamail/docs/SSLNOTES.txt - https://javaee.github.io/javamail/docs/api/com/sun/mail/smtp/package-summary.html - https://github.com/eclipse-ee4j/mail/issues/429

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

Réserver

04/12/2021

Divulgation

14/12/2021

Modérer

accepté

Entrée

VDB-188150

CPE

prêt

EPSS

0.01936

KEV

non

Activités

très faible

Sources

Want to stay up to date on a daily basis?

Enable the mail alert feature now!