CVE-2026-34975 in plunk
Sumário
de VulDB • 28/05/2026
Plunk é uma plataforma de e-mail de código aberto construída sobre o AWS SES. Antes da versão 0.8.0, foi descoberta uma vulnerabilidade de injeção de cabeçalho CRLF no arquivo SESService.ts, onde valores fornecidos pelo usuário para from.name, subject, chaves/valores de cabeçalho personalizados e nomes de anexos eram interpolados diretamente em mensagens MIME brutas sem sanitização. Um usuário de API autenticado poderia injetar cabeçalhos de e-mail arbitrários (por exemplo, Bcc, Reply-To) incorporando caracteres de retorno de carro/avanço de linha nesses campos, permitindo o encaminhamento silencioso de e-mails, redirecionamento de respostas ou falsificação do remetente. A correção adiciona validação de entrada em nível de esquema para rejeitar qualquer um desses campos que contenha caracteres \r ou \n, consistente com a validação existente já aplicada ao campo contentId. Esta vulnerabilidade foi corrigida na versão 0.8.0.
If you want to get best quality of vulnerability data, you may have to visit VulDB.