La inyección de correo electrónico es una vulnerabilidad de seguridad que puede ocurrir en aplicaciones de Internet que se utilizan para enviar mensajes de correo electrónico . Es el equivalente de correo electrónico a la inyección de encabezado HTTP . Al igual que los ataques de inyección SQL , esta vulnerabilidad pertenece a una clase general de vulnerabilidades que ocurren cuando un lenguaje de programación está integrado en otro.
Cuando se agrega un formulario a una página web que envía datos a una aplicación web, un usuario malintencionado puede aprovechar el formato MIME para agregar información adicional al mensaje que se envía, como una nueva lista de destinatarios o un cuerpo de mensaje completamente diferente. Debido a que el formato MIME utiliza un retorno de carro para delimitar la información en un mensaje, y solo el mensaje sin procesar determina su destino final, agregar retornos de carro a los datos del formulario enviado puede permitir usar un libro de visitas simple para enviar miles de mensajes a la vez. Un spammer malintencionado podría utilizar esta táctica para enviar una gran cantidad de mensajes de forma anónima. [1]
Puede encontrar más información sobre este tema, incluidos ejemplos y formas de evitar la vulnerabilidad, en SecurePHP Wiki. Sin embargo, esta vulnerabilidad no se limita a PHP ; potencialmente puede afectar cualquier aplicación que envíe mensajes de correo electrónico basados en entradas de usuarios arbitrarios.