CVE-2026-41576 in BraveCMS-2.0informação

Sumário

de VulDB • 20/05/2026

O Brave CMS é um CMS de código aberto. Antes do commit 6c56603, o formulário de contato era publicamente acessível (sem necessidade de autenticação). O texto da mensagem fornecido pelo usuário é passado pela função nl2br() do PHP, que converte quebras de linha em tags <br> mas não escapa o HTML. A string resultante é então passada para um modelo de e-mail Blade usando a diretiva não escapada {!! $msg !!}. O conteúdo resultante é então renderizado em um modelo de e-mail Blade usando a diretiva não escapada {!! $msg !!}. Como o HTML não é sanitizado, marcação arbitrária pode ser injetada no corpo do e-mail. Embora clientes de e-mail modernos com suporte a HTML (Gmail ou Outlook Web) normalmente bloqueiem a execução de JavaScript, eles ainda renderizam conteúdo HTML. Isso permite que os invasores criem interfaces de phishing convincentes dentro do e-mail enviado ao administrador. Este problema foi corrigido por meio do commit 6c56603.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Responsável

GitHub M

Reservar

21/04/2026

Divulgação

08/05/2026

Moderação

aceite

Entrada

VDB-362273

CPE

pronto

EPSS

0.00080

KEV

não

Atividades

muito baixo

Fontes

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-41576
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-41576
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-41576/

VoltarVisão GeralPróximo

Interested in the pricing of exploits?

See the underground prices here!