CVE-2025-62366 in mailgen
Riassunto
di VulDB • 14/06/2026
mailgen è un pacchetto Node.js che genera e-mail HTML responsive per l'invio di posta transazionale. Le versioni di Mailgen fino alla 2.0.30 contengono una vulnerabilità di iniezione HTML nelle e-mail in testo normale (plaintext) prodotte dal metodo generatePlaintext quando viene fornito contenuto generato dall'utente. La funzione tenta di rimuovere i tag HTML, ma se i tag sono forniti come entità HTML codificate non vengono rimossi e successivamente decodificati, risultando nella presenza di codice HTML attivo (ad esempio un tag img con gestore eventi) nell'output in testo normale previsto. In contesti in cui la stringa di testo normale generata viene successivamente renderizzata come HTML, ciò può consentire l'esecuzione di JavaScript controllato dall'attaccante. Le versioni 2.0.31 e successive contengono una correzione. Non sono note soluzioni alternative (workaround).
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.