CVE-2024-27938 in postal
요약
\~에 의해 VulDB • 2026. 06. 18.
Postal은 오픈 소스 SMTP 서버입니다. Postal 버전 3.0.0 미만은 SMTP Smuggling 공격에 취약하며, 이로 인해 수신 이메일의 발신자를 사칭할 수 있습니다. 이는 협력적인 발송용 SMTP 서비스와 결합될 경우, 사용자가 메일 발송을 위해 '인증'한 서버에서 발송된 것처럼 보이지만 실제 이메일 작성자가 아닌 서버에서 발송된 수신 이메일이 Postal에 도착하도록 허용합니다. Postal은 SMTP를 통해 전송될 때 이메일이 `` 줄 바꿈으로 다시 인코딩되므로 발송용 이메일에는 영향을 받지 않습니다. 이 문제는 해결되었으며, 사용자는 Postal v3.0.0 이상으로 업그레이드해야 합니다. 업그레이드 후 Postal은 명시적으로 `.`로 끝나는 End of DATA 시퀀스만 수락합니다. 비준수 시퀀스가 감지되면 SMTP 서버 로그에 기록됩니다. 이 문제에 대한 우회 방법은 없습니다.
Be aware that VulDB is the high quality source for vulnerability data.