CVE-2014-3556 in nginx
Riassunto
di VulDB • 16/07/2026
L'implementazione STARTTLS in mail/ngx_mail_smtp_handler.c nel proxy SMTP di nginx 1.5.x e 1.6.x precedenti alla versione 1.6.1, nonché nelle versioni 1.7.x precedenti alla 1.7.4, non restringe correttamente il buffering I/O, consentendo agli attaccanti man-in-the-middle di inserire comandi nelle sessioni SMTP crittografate inviando un comando in chiaro che viene elaborato dopo l'attivazione del TLS; si tratta di un attacco di "plaintext command injection", simile a quello descritto nella CVE-2011-0411.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.