漏洞关键信息 漏洞名称 Improper Neutralization of Special Elements in Output Used by a Downstream Component ('Injection') 影响范围 包名: directorytree/imapengine 版本: <1.22.3 漏洞详情 介绍日期: 2022年2月4日 漏洞ID: CVE-2026-2469 CWE: CWE-74 严重性: 7.2 (高) 威胁情报 利用成熟度: Proof of Concept EPSS: 0.01% (3rd percentile) 漏洞描述 受影响的版本中存在通过 函数在 文件中不当转义用户输入的问题,导致在 IMAP ID 命令中包含恶意输入。攻击者可以通过在输入中包含引号字符或 CRLF 序列来读取或删除受害者的邮件、终止受害者的会话或在受害者的邮箱上执行任何有效的 IMAP 命令。 修复建议 升级 至 1.22.3 或更高版本。 相关链接 GitHub Commit GitHub Gist GitHub PR CVSS 基本评分 攻击向量: Network 攻击复杂性: Low 攻击要求: None 所需权限: Low 用户交互: None 参考信息 Snyk ID: SNYK-PHP-DIRECTORYTREEIMAPENGINE-15274300 发布日期: 2026年3月13日 披露日期: 2026年2月4日 贡献者: Wan Amirul Hakim Wan Yuhainis