关键信息 漏洞概述 漏洞类型: SMTP Command Injection Vulnerability (CRLF Injection) 影响版本: <= 4.2.7.Final, < 4.1.128.Final 修复版本: 4.2.7.Final, 4.1.128.Final 严重性: Moderate CVE ID: CVE-2025-59419 描述 Netty的SMTP codec中存在一个SMTP命令注入漏洞,允许远程攻击者通过控制SMTP命令参数(如电子邮件收件人)来伪造任意邮件。这绕过了标准的电子邮件认证,并可用于冒充高管和伪造高风险的企业通信。 根本原因 问题在于对用户提供的参数中的换行符(\r\n)缺乏输入验证。易受攻击的代码位于 ,其中参数直接连接到SMTP命令字符串。 PoC (概念验证) 1. 恶意负载: 2. 触发漏洞: 3. 完整复现步骤: - 设置本地SMTP服务器(使用MailHog) - 运行PoC代码 - 验证结果 影响 经济操纵与虚假信息: 攻击者可以伪造来自高价值目标的电子邮件,导致经济混乱。 高级网络钓鱼: 攻击者可以发送高保真度的网络钓鱼邮件,绕过电子邮件认证,使受害者更有可能上当受骗。