CVE-2026-40878 in mailcow-dockerizedinfo

Zusammenfassung

von VulDB • 31.05.2026

mailcow: dockerized ist eine Open-Source-Groupware-/E-Mail-Suite auf Docker-Basis. In Versionen vor 2026-03b übergibt die mailcow-Weboberfläche den rohen Wert von `$_SERVER['REQUEST_URI']` an Twig als globale Template-Variable und rendert ihn innerhalb eines JavaScript-Zeichenfolgenliterals in der Hilfsfunktion `setLang()` von `base.twig`. Dabei wird auf dem Standard-HTML-Auto-Escaping von Twig anstelle der kontextangemessenen `js`-Escaping-Strategie vertraut. Darüber hinaus fügt die Twig-Hilfsfunktion `query_string()` alle aktuellen `$_GET`-Parameter in die Sprachwechsel-Links auf der Anmeldeseite ein, sodass vom Angreifer bereitgestellte Parameter reflektiert und über die Navigation hinweg beibehalten werden. Version 2026-03b behebt die Schwachstelle.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Zuständig

GitHub M

Reservieren

15.04.2026

Veröffentlichung

21.04.2026

Moderieren

akzeptiert

Eintrag

VDB-358586

CPE

bereit

EPSS

0.02959

KEV

nein

Aktivitäten

very low

Sektor

Pharma, Hostingprovider, ...

Quellen

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-40878
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-40878
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-40878/

ZurückÜbersichtWeiter

Interested in the pricing of exploits?

See the underground prices here!