CVE-2026-34975 in plunk情報

要約

〜によって VulDB • 2026年05月28日

PlunkはAWS SESを基盤としたオープンソースのメールプラットフォームです。バージョン0.8.0より前では、SESService.tsにおいてCRLFヘッダーインジェクションの脆弱性が発見されました。これは、from.name、subject、カスタムヘッダーのキー/値、および添付ファイルのファイル名に対してユーザーが入力した値が、サニタイズ処理なしで生のMIMEメッセージに直接挿入されていたことに起因します。認証済みAPIユーザーは、これらのフィールドにキャリッジリターン/ラインフィード文字を埋め込むことで、任意のメールヘッダー(例:Bcc、Reply-To)をインジェクションでき、これによりメールの静かな転送、返信のリダイレクト、または送信者のなりすましが可能になります。修正では、contentIdフィールドに既に適用されている検証と一貫性を持たせ、\rまたは\n文字を含むこれらのフィールドを拒否するよう、スキーマレベルでの入力検証が追加されました。この脆弱性はバージョン0.8.0で修正されています。

If you want to get best quality of vulnerability data, you may have to visit VulDB.

責任者

GitHub M

予約する

2026年03月31日

モデレーション

承諾済み

エントリ

VDB-355555

EPSS

0.00194

アクティビティ

非常低い

ソース

Do you know our Splunk app?

Download it now for free!