CVE-2026-34975 in plunkinformação

Sumário

de VulDB • 28/05/2026

Plunk é uma plataforma de e-mail de código aberto construída sobre o AWS SES. Antes da versão 0.8.0, foi descoberta uma vulnerabilidade de injeção de cabeçalho CRLF no arquivo SESService.ts, onde valores fornecidos pelo usuário para from.name, subject, chaves/valores de cabeçalho personalizados e nomes de anexos eram interpolados diretamente em mensagens MIME brutas sem sanitização. Um usuário de API autenticado poderia injetar cabeçalhos de e-mail arbitrários (por exemplo, Bcc, Reply-To) incorporando caracteres de retorno de carro/avanço de linha nesses campos, permitindo o encaminhamento silencioso de e-mails, redirecionamento de respostas ou falsificação do remetente. A correção adiciona validação de entrada em nível de esquema para rejeitar qualquer um desses campos que contenha caracteres \r ou \n, consistente com a validação existente já aplicada ao campo contentId. Esta vulnerabilidade foi corrigida na versão 0.8.0.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

Responsável

GitHub M

Reservar

31/03/2026

Divulgação

06/04/2026

Moderação

aceite

Entrada

VDB-355555

CPE

pronto

EPSS

0.00194

KEV

não

Atividades

muito baixo

Fontes

Interested in the pricing of exploits?

See the underground prices here!