CVE-2026-30227

  1. OpenCVE
  2. Vulnerabilities (CVE)
  3. CVE-2026-30227
MimeKit is a C# library which may be used for the creation and parsing of messages using the Multipurpose Internet Mail Extension (MIME), as defined by numerous IETF specifications. Prior to version 4.15.1, a CRLF injection vulnerability in MimeKit allows an attacker to embed \r\n into the SMTP envelope address local-part (when the local-part is a quoted-string). This is non-compliant with RFC 5321 and can result in SMTP command injection (e.g., injecting additional RCPT TO / DATA / RSET commands) and/or mail header injection, depending on how the application uses MailKit/MimeKit to construct and send messages. The issue becomes exploitable when the attacker can influence a MailboxAddress (MAIL FROM / RCPT TO) value that is later serialized to an SMTP session. RFC 5321 explicitly defines the SMTP mailbox local-part grammar and does not permit CR (13) or LF (10) inside Quoted-string (qtextSMTP and quoted-pairSMTP ranges exclude control characters). SMTP commands are terminated by <CRLF>, making CRLF injection in command arguments particularly dangerous. This issue has been patched in version 4.15.1.

5.3 /10

CVSS v3 : MEDIUM

V3 Legend

Vector :

Exploitability : 3.9 / Impact : 1.4

Attack Vector NETWORK

Attack Complexity LOW

Privileges Required NONE

User Interaction NONE

Confidentiality Impact NONE

Integrity Impact LOW

Availability Impact NONE

Scope UNCHANGED

References
Link Resource
https://github.com/jstedfast/MimeKit/security/advisories/GHSA-g7hc-96xr-gvvx Exploit Mitigation Vendor Advisory
Configurations

Configuration 1 (hide)

cpe:2.3:a:jstedfast:mimekit:*:*:*:*:*:*:*:*
History

12 Mar 2026, 15:34

Type Values Removed Values Added
First Time Jstedfast mimekit
Jstedfast
CPE cpe:2.3:a:jstedfast:mimekit:*:*:*:*:*:*:*:*
CVSS v2 : unknown
v3 : unknown 		v2 : unknown
v3 : 5.3
References () https://github.com/jstedfast/MimeKit/security/advisories/GHSA-g7hc-96xr-gvvx - () https://github.com/jstedfast/MimeKit/security/advisories/GHSA-g7hc-96xr-gvvx - Exploit, Mitigation, Vendor Advisory
Summary
  • (es) MimeKit es una librería C# que puede ser utilizada para la creación y el análisis de mensajes utilizando la Extensión de Correo de Internet Multipropósito (MIME), tal como lo definen numerosas especificaciones del IETF. Antes de la versión 4.15.1, una vulnerabilidad de inyección CRLF en MimeKit permite a un atacante incrustar \r\n en la parte local de la dirección del sobre SMTP (cuando la parte local es una cadena entre comillas). Esto no cumple con la RFC 5321 y puede resultar en inyección de comandos SMTP (por ejemplo, inyectando comandos RCPT a / DATA / RSET adicionales) y/o inyección de encabezados de correo, dependiendo de cómo la aplicación utilice MailKit/MimeKit para construir y enviar mensajes. El problema se vuelve explotable cuando el atacante puede influir en un valor de MailboxAddress (MAIL FROM / RCPT TO) que luego se serializa a una sesión SMTP. La RFC 5321 define explícitamente la gramática de la parte local del buzón SMTP y no permite CR (13) o LF (10) dentro de Quoted-string (los rangos qtextSMTP y quoted-pairSMTP excluyen caracteres de control). Los comandos SMTP son terminados por , haciendo que la inyección CRLF en los argumentos de los comandos sea particularmente peligrosa. Este problema ha sido parcheado en la versión 4.15.1.

06 Mar 2026, 21:16

Type Values Removed Values Added
New CVE
Information

Published : 2026-03-06 21:16

Updated : 2026-03-12 15:34

NVD link : CVE-2026-30227

Mitre link : CVE-2026-30227

CVE.ORG link : CVE-2026-30227

JSON object : View

Products Affected

jstedfast

  • mimekit
CWE
CWE-93

Improper Neutralization of CRLF Sequences ('CRLF Injection')