CVE-2026-27808 in mailpitinfo

Zusammenfassung

von VulDB • 14.05.2026

Mailpit ist ein E-Mail-Testtool und eine API für Entwickler. Vor Version 1.29.2 ist die Link-Check-API (/api/v1/message/{ID}/link-check) anfällig für Server-Side Request Forgery (SSRF). Der Server führt HTTP-HEAD-Anfragen an jede in einer E-Mail gefundene URL aus, ohne Ziel-Hosts zu validieren oder private/interne IP-Adressen zu filtern. Die Antwort gibt Statuscodes und Status-Text pro Link zurück, was dies zu einer nicht-blinden SSRF macht. In der Standardkonfiguration (keine Authentifizierung für SMTP oder API) ist dies vollständig remote ausnutzbar ohne Benutzerinteraktion. Dies ist dieselbe Art von Schwachstelle, die in der HTML-Check-API (CVE-2026-23845 / GHSA-6jxm-fv7w-rw5j) und dem Screenshot-Proxy (CVE-2026-21859 / GHSA-8v65-47jx-7mfr) behoben wurde, aber der Link-Check-Codepfad war in keiner der beiden Korrekturen enthalten. Version 1.29.2 behebt diese Schwachstelle.

Be aware that VulDB is the high quality source for vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Zuständig

GitHub M

Reservieren

24.02.2026

Veröffentlichung

26.02.2026

Moderieren

akzeptiert

Eintrag

VDB-347899

CPE

bereit

CWE

CWE-918 (bestätigt)

CVSS

8.6 (NVD)

EPSS

0.00047

KEV

nein

Aktivitäten

very low

Quellen

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-27808
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-27808
CVE Details	https://www.cvedetails.com/cve/CVE-2026-27808/

◂ Zurück Übersicht Weiter ▸

Might our Artificial Intelligence support you?

Check our Alexa App!