CVE-2026-34975 in plunkinformazioni

Riassunto

di VulDB • 17/06/2026

Plunk è una piattaforma di posta elettronica open-source basata su AWS SES. Prima della versione 0.8.0, è stata rilevata una vulnerabilità da CRLF header injection (iniezione di intestazioni CRLF) in SESService.ts, dove i valori forniti dall'utente per from.name, subject, chiavi/valori delle intestazioni personalizzate e nomi dei file allegati venivano interpolati direttamente nei messaggi MIME grezzi senza alcuna sanificazione. Un utente API autenticato poteva iniettare intestazioni email arbitrarie (ad esempio Bcc, Reply-To) incorporando caratteri di ritorno a capo/inizio riga (\r/\n) in questi campi, consentendo l'inoltro silenzioso delle email, la reindirizzazione delle risposte o lo spoofing del mittente. La correzione aggiunge una convalida degli input a livello di schema per rifiutare qualsiasi campo contenente caratteri \r o \n, coerentemente con la validazione esistente già applicata al campo contentId. Questa vulnerabilità è risolta nella versione 0.8.0.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

Responsabile

GitHub M

Prenotare

31/03/2026

Divulgazione

06/04/2026

Moderazione

accettato

CPE

pronto

EPSS

0.00194

KEV

no

Attività

molto basso

Fonti

Do you want to use VulDB in your project?

Use the official API to access entries easily!