CVE-2026-34975 in plunkالمعلومات

الملخص

بحسب VulDB • 28/05/2026

Plunk هو منصة بريد إلكتروني مفتوحة المصدر مبنية فوق خدمة AWS SES. قبل الإصدار 0.8.0، تم اكتشاف ثغرة حقن رؤوس CRLF في ملف SESService.ts، حيث كانت القيم المدخلة من قبل المستخدم لحقول from.name وsubject ومفاتيح/قيم الرؤوس المخصصة وأسماء الملفات المرفقة تُدمج مباشرة في رسائل MIME الخام دون أي تعقيم (sanitization). يمكن لمستخدم واجهة برمجة التطبيقات (API) المصادق عليه حقن رؤوس بريد إلكتروني تعسفية (مثل Bcc وReply-To) عن طريق تضمين أحرف إرجاع السيارة/سطر جديد (carriage return/line feed) في هذه الحقول، مما يتيح إعادة توجيه البريد الإلكتروني بصمت، أو إعادة توجيه الردود، أو انتحال هوية المرسل. يضيف الإصلاح التحقق من صحة المدخلات على مستوى المخطط (schema) لرفض أي من هذه الحقول التي تحتوي على أحرف \r أو \n، بما يتماشى مع التحقق من الصحة الحالي المطبق بالفعل على حقل contentId. تم إصلاح هذه الثغرة في الإصدار 0.8.0.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

مسؤول

GitHub M

حجز

31/03/2026

إفشاء

06/04/2026

الاعتدال

تمت الموافقة

إدخال

VDB-355555

EPSS

0.00194

KEV

لا

النشاطات

منخفض جدًا

المصادر

Might our Artificial Intelligence support you?

Check our Alexa App!