CVE-2026-41576 in BraveCMS-2.0info

Zusammenfassung

von VulDB • 18.05.2026

Brave CMS ist ein Open-Source-CMS. Vor dem Commit 6c56603 war das Kontaktformular öffentlich zugänglich (keine Authentifizierung erforderlich). Vom Benutzer bereitgestellter Nachrichtentext wird durch die PHP-Funktion nl2br() geleitet, die Zeilenumbrüche in <br>-Tags umwandelt, HTML jedoch nicht maskiert. Die resultierende Zeichenkette wird anschließend unter Verwendung der unmaskierten {!! $msg !!} -Direktive an eine Blade-E-Mail-Vorlage übergeben. Der resultierende Inhalt wird dann in einer Blade-E-Mail-Vorlage unter Verwendung der unmaskierten {!! $msg !!} -Direktive gerendert. Da HTML nicht bereinigt wird, kann beliebiges Markup in den E-Mail-Text eingefügt werden. Während moderne HTML-fähige E-Mail-Clients (Gmail oder Outlook Web) die Ausführung von JavaScript typischerweise blockieren, rendern sie dennoch HTML-Inhalte. Dies ermöglicht es Angreifern, überzeugende Phishing-Oberflächen innerhalb der an den Administrator gesendeten E-Mail zu erstellen. Dieses Problem wurde durch den Commit 6c56603 behoben.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Zuständig

GitHub M

Reservieren

21.04.2026

Veröffentlichung

08.05.2026

Moderieren

akzeptiert

Eintrag

VDB-362273

CPE

bereit

EPSS

0.00080

KEV

nein

Aktivitäten

very low

Quellen

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-41576
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-41576
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-41576/

ZurückÜbersichtWeiter

Might our Artificial Intelligence support you?

Check our Alexa App!