• 漏洞编号：CVE-2023-51764
• 漏洞等级：高危
• 漏洞标签：EXP公开、关键漏洞、POC公开、在野利用
• 发布时间：2023-12-24

漏洞描述

Postfix 到 3.8.4 允许 SMTP 走私，除非配置了 smtpd\_data\_restrictions\=reject\_unauth\_pipelined （或最近版本中存在的某些其他选项）。 远程攻击者可以使用已发布的漏洞利用技术来注入看似源自 Postfix 服务器的电子邮件，从而绕过 SPF 保护机制。 出现这种情况是因为 Postfix 支持 . 但其他一些流行的电子邮件服务器不支持。 为了防止攻击变体（始终禁止不带 的 ），需要不同的解决方案：smtpd\_forbid\_bare\_newline\=yes 选项，Postfix 最低版本为 3.5.23、3.6.13、3.7.9、3.8.4、或 3.9。

修复建议

暂无

参考链接

https://ti.qianxin.com/vulnerability/detail/333810