CVE-2025-62366 in mailgenИнформация

Сводка

по VulDB • 13.06.2026

mailgen — это пакет Node.js для генерации адаптивных HTML-писем с целью отправки транзакционной почты. Версии mailgen вплоть до 2.0.30 содержат уязвимость внедрения HTML (HTML injection) в текстовые письма, создаваемые методом generatePlaintext при передаче пользовательского контента. Функция пытается удалить теги HTML, но если они предоставлены в виде закодированных сущностей HTML, то не удаляются и впоследствии декодируются, что приводит к появлению исполняемого HTML-кода (например, тега img с обработчиком событий) в предполагаемом текстовом выводе. В контекстах, где результирующая строка текста затем отображается как HTML, это может позволить выполнение JavaScript-кода под контролем злоумышленника. Версии 2.0.31 и более поздние содержат исправление. Известных обходных путей не существует.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

Ответственный

GitHub M

Резервировать

10.10.2025

Раскрытие

14.10.2025

Модерация

принято

Вход

VDB-328302

EPSS

0.00395

KEV

Нет

Деятельности

Очень низкий

Источники

Interested in the pricing of exploits?

See the underground prices here!