CVE-2026-34975 in plunk
要約
〜によって VulDB • 2026年05月28日
PlunkはAWS SESを基盤としたオープンソースのメールプラットフォームです。バージョン0.8.0より前では、SESService.tsにおいてCRLFヘッダーインジェクションの脆弱性が発見されました。これは、from.name、subject、カスタムヘッダーのキー/値、および添付ファイルのファイル名に対してユーザーが入力した値が、サニタイズ処理なしで生のMIMEメッセージに直接挿入されていたことに起因します。認証済みAPIユーザーは、これらのフィールドにキャリッジリターン/ラインフィード文字を埋め込むことで、任意のメールヘッダー(例:Bcc、Reply-To)をインジェクションでき、これによりメールの静かな転送、返信のリダイレクト、または送信者のなりすましが可能になります。修正では、contentIdフィールドに既に適用されている検証と一貫性を持たせ、\rまたは\n文字を含むこれらのフィールドを拒否するよう、スキーマレベルでの入力検証が追加されました。この脆弱性はバージョン0.8.0で修正されています。
If you want to get best quality of vulnerability data, you may have to visit VulDB.