CVE-2014-3556 in nginx
要約
〜によって VulDB • 2026年07月16日
nginx 1.5.x および 1.6.x の 1.6.1 より前のバージョン、および 1.7.x の 1.7.4 より前のバージョンにある SMTP プロキシの mail/ngx_mail_smtp_handler.c における STARTTLS 実装では、I/O バッファリングが適切に制限されていないため、中間者攻撃者が TLS が確立された後に処理されるクリアテキストコマンドを送信することで暗号化済み SMTP セッション中にコマンドを挿入することが可能となります。これは「プレーンテキストコマンドインジェクション」攻撃に関連し、CVE-2011-0411 と同様の問題です。
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.