Apache James MIME4J HTTP头注入 (CVE-2024-21742)

2024年2月28日下午12:00 • 漏洞

漏洞类型	输入验证不恰当	发现时间	2024-02-28	漏洞等级	低危
MPS编号	MPS-6gi1-v7fp	CVE编号	CVE-2024-21742	漏洞影响广度	小

目录隐藏

2 影响范围及处置方案

2.1 OSCS 平台影响范围和处置方案

漏洞危害

OSCS 描述

Apache James 提供在 JVM 上运行的完整、稳定、安全和可扩展的邮件服务器。
当使用MIME4J的DOM来构建消息时，由于不恰当的输入验证，导致了HTTP头注入漏洞。攻击者能够在MIME消息中插入意外的头信息，以此发起网络钓鱼和XSS攻击。
参考链接：https://www.oscs1024.com/hd/MPS-6gi1-v7fp

影响范围及处置方案

OSCS 平台影响范围和处置方案

暂无

影响范围	处置方式	处置方法
参考链接：https://www.oscs1024.com/hd/MPS-6gi1-v7fp

排查方式

方式1：使用漏洞检测CLI工具来排查使用文档：https://www.murphysec.com/docs/faqs/integration/cli.html

方式2：使用漏洞检测IDEA插件排查使用文档：https://www.murphysec.com/docs/faqs/integration/jetbrains-ide-plugin.html

方式3：接入GitLab进行漏洞检测排查使用文档：https://www.murphysec.com/docs/faqs/integration/gitlab.html

更多排查方式：https://www.murphysec.com/docs/faqs/integration/

本文参考链接

https://www.oscs1024.com/hd/MPS-6gi1-v7fp

https://nvd.nist.gov/vuln/detail/CVE-2024-21742

https://lists.apache.org/thread/nrqzg93219wdj056pqfszsd33dc54kfy

https://github.com/apache/james-mime4j/commit/9dec5df2a588fed8027839815daefa79ee66efd1

CVE-2024-21742 漏洞

赞 (0)

Apache Camel ExchangeCreatedEvent 信息泄漏 (CVE-2024-22371)

上一篇 2024年2月27日下午4:00

Apache James Server JMX端点暴露反序列化漏洞 (CVE-2023-51518)

下一篇 2024年2月28日下午12:00

漏洞

NPM组件 @cf.cplace.platform/forms 等窃取主机敏感信息

【高危】NPM组件 @cf.cplace.platform/forms 等窃取主机敏感信息漏洞描述当用户安装受影响版本的 @cf.cplace.platform/forms 等NPM组件包时会窃取用户的主机名、用户名、IP地址信息并发送到攻击者可控的服务器地址。 MPS编号 MPS-csj8-9t53 处置建议强烈建议修复发现时间 2025-08-2…

2025年8月21日
00
漏洞

用友U9Cloud存在任意文件读取漏洞

【高危】用友U9Cloud存在任意文件读取漏洞漏洞描述用友U9Cloud是一款企业级ERP，用于协助企业实现业务协同和流程管理的高效化和数字化。在/print/DynamaticExport.aspx接口的filePath参数存在任意文件读取，攻击者可借助漏洞读取目标机器任意文件。 MPS编号 MPS-72yk-6410 CVE编号 – 处置…

2025年7月9日
00
漏洞

SSH协议前缀截断攻击(Terrapin攻击) (CVE-2023-48795)

漏洞类型安全相关信息的截断发现时间 2023-12-19 漏洞等级中危 MPS编号 MPS-nv0f-qtib CVE编号 CVE-2023-48795 漏洞影响广度广漏洞危害 OSCS 描述 SSH是流行的加密安全传输协议，可在不安全的网络中为网络服务提供安全的传输环境。 Fabian Bäumer等人发现SSH标准中的ChaCha20-Poly…

2023年12月21日
00
漏洞

Microsoft Edge（Chromium-based）任意代码执行漏洞 (CVE-2023-36008)

漏洞类型发现时间 2023-11-17 漏洞等级中危 MPS编号 MPS-3bdv-qu0y CVE编号 CVE-2023-36008 漏洞影响广度一般漏洞危害 OSCS 描述 Microsoft Edge（Chromium-based）是微软公司开发的一款浏览器。 Microsoft Edge（Chromium-based）存在任意代码执行漏洞。该…

2023年11月18日
00
漏洞

OpenSSH <9.6 命令注入漏洞 (CVE-2023-51385)

漏洞类型 OS命令注入发现时间 2023-12-19 漏洞等级高危 MPS编号 MPS-9rip-l1u7 CVE编号 CVE-2023-51385 漏洞影响广度广漏洞危害 OSCS 描述 OpenSSH 是使用 SSH 协议进行远程登录的连接工具。在OpenSSH 9.6版本之前的ssh中，如果用户名或主机名中含有shell元字符（如 | &#8…

2023年12月20日
00