Přehled
Toto oznámení se týká známé bezpečnostní chyby zjištěné v závislosti na třetí straně používané v rámci DPGW.
Podrobnosti o zranitelnosti
- CVE ID: CVE-2025-7962
- Název závislosti: com.sun.mail:jakarta.mail
- Ovlivněná verze závislosti: < 1.6.7
- Skóre závažnosti: 6.0 Medium
(CVSS:4.0/AV:N/AC:H/AT:N/PR:L/UI:N/VC:N/VI:H/VA:N/SC:N/SI:L/SA:N)
Dotčené verze DPGW
- < 1.13.18-REL
- < 1.12.42-REL
- < 1.11.46-REL
Risk Assessment & Applicability
Použití
DPGW využívá knihovnu jakarta-mail jako transitivní závislost z balíčku org.apache:commons-email pro odesílání e-mailů.
Analýza
Tato chyba zabezpečení souvisí s SMTP injekcí a použitím znaku \r\n v hlavičce e-mailu.
Stav
Ovlivněno
Skóre závažnosti v kontextu DPGW: 5.8 Medium CVSS:4.0/AV:N/AC:H/AT:N/PR:H/UI:P/VC:L/VI:H/VA:N/SC:N/SI:L/SA:N
Dopad na DPGW
Využitím této chyby může útočník:
– Spamming: Přidat neoprávněné příjemce do polí Bcc nebo Cc, aby zakryl svou činnost.
– Phishing: Přepsat tělo e-mailu a odeslat zcela odlišnou zprávu, než jakou aplikace zamýšlela.
– Header Spoofing: Změnit adresu odesílatele tak, aby e-mail vypadal, jako by pocházel z důvěryhodného zdroje.
Neoprávněný uživatel v DPGW nemá možnost nastavit předmět e-mailu ani žádné jiné hlavičky e-mailu. Uživatelské rozhraní také neumožňuje zadávat speciální znaky. Tuto zranitelnost by mohl využít oprávněný uživatel, který by pomocí nástroje jako curl falšoval volání HTTP API.
Jelikož neexistuje nová verze commons-email, byla přidána automatická sanitizace vstupů pro hlavičky e-mailů.
Náprava a zmírnění dopadů
Plánovaná oprava
Aktualizujte na verzi:
– 1.13.19-REL (vydáno 29.4.2026) nebo novější
– 1.12.43-REL (vydáno 24.4.2026) nebo novější
Akce uživatele
Není nutný žádný zásah uživatele.