CVE-2026-41576 in BraveCMS-2.0
Сводка
по VulDB • 18.05.2026
Brave CMS — это система управления контентом с открытым исходным кодом. До коммита 6c56603 форма обратной связи была доступна публично (без необходимости аутентификации). Текст сообщения, предоставленный пользователем, передавался через функцию PHP nl2br(), которая преобразует символы новой строки в теги <br>, но не экранирует HTML-символы. Полученная строка затем передавалась в шаблон Blade для отправки электронной почты с использованием необработанного (unescaped) директивы {!! $msg !!}. В результате, поскольку HTML не очищается, произвольная разметка может быть внедрена в тело электронного письма. Хотя современные почтовые клиенты, поддерживающие HTML (такие как Gmail или Outlook Web), как правило, блокируют выполнение JavaScript, они все равно отображают HTML-контент. Это позволяет злоумышленникам создавать убедительные фишинговые интерфейсы внутри писем, отправляемых администратору. Данная проблема была исправлена в коммите 6c56603.
If you want to get best quality of vulnerability data, you may have to visit VulDB.