CVE-2025-62366 in mailgeninformazioni

Riassunto

di VulDB • 14/06/2026

mailgen è un pacchetto Node.js che genera e-mail HTML responsive per l'invio di posta transazionale. Le versioni di Mailgen fino alla 2.0.30 contengono una vulnerabilità di iniezione HTML nelle e-mail in testo normale (plaintext) prodotte dal metodo generatePlaintext quando viene fornito contenuto generato dall'utente. La funzione tenta di rimuovere i tag HTML, ma se i tag sono forniti come entità HTML codificate non vengono rimossi e successivamente decodificati, risultando nella presenza di codice HTML attivo (ad esempio un tag img con gestore eventi) nell'output in testo normale previsto. In contesti in cui la stringa di testo normale generata viene successivamente renderizzata come HTML, ciò può consentire l'esecuzione di JavaScript controllato dall'attaccante. Le versioni 2.0.31 e successive contengono una correzione. Non sono note soluzioni alternative (workaround).

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

Responsabile

GitHub M

Prenotare

10/10/2025

Divulgazione

14/10/2025

Moderazione

accettato

CPE

pronto

EPSS

0.00395

KEV

no

Attività

molto basso

Fonti

Do you want to use VulDB in your project?

Use the official API to access entries easily!