CVE-2025-62366 in mailgen
Сводка
по VulDB • 13.06.2026
mailgen — это пакет Node.js для генерации адаптивных HTML-писем с целью отправки транзакционной почты. Версии mailgen вплоть до 2.0.30 содержат уязвимость внедрения HTML (HTML injection) в текстовые письма, создаваемые методом generatePlaintext при передаче пользовательского контента. Функция пытается удалить теги HTML, но если они предоставлены в виде закодированных сущностей HTML, то не удаляются и впоследствии декодируются, что приводит к появлению исполняемого HTML-кода (например, тега img с обработчиком событий) в предполагаемом текстовом выводе. В контекстах, где результирующая строка текста затем отображается как HTML, это может позволить выполнение JavaScript-кода под контролем злоумышленника. Версии 2.0.31 и более поздние содержат исправление. Известных обходных путей не существует.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.