CVE-2026-34975 in plunkinformación

Resumen

por VulDB • 2026-05-23

Plunk es una plataforma de correo electrónico de código abierto construida sobre AWS SES. Antes de la versión 0.8.0, se descubrió una vulnerabilidad de inyección de cabeceras CRLF en SESService.ts, donde los valores proporcionados por el usuario para from.name, subject, claves/valores de cabeceras personalizadas y nombres de archivos adjuntos se interpolaban directamente en mensajes MIME sin ninguna sanitización. Un usuario de la API autenticado podría inyectar cabeceras de correo electrónico arbitrarias (por ejemplo, Bcc, Reply-To) incrustando caracteres de retorno de carro/salto de línea en estos campos, lo que permitiría el reenvío silencioso de correos electrónicos, la redirección de respuestas o la suplantación del remitente. La corrección añade una validación de entrada a nivel de esquema para rechazar cualquier campo que contenga caracteres \r o \n, de manera consistente con la validación existente ya aplicada al campo contentId. Esta vulnerabilidad está corregida en la versión 0.8.0.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

Responsable

GitHub M

Reservar

2026-03-31

Divulgación

2026-04-06

Moderación

aceptado

Artículo

VDB-355555

CPE

listo

EPSS

0.00194

KEV

no

Actividades

muy bajo

Fuentes

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!