CVE-2025-62366 in mailgenthông tin

Tóm tắt

Bởi VulDB • 13/06/2026

mailgen là một gói phần mềm Node.js dùng để tạo các email HTML đáp ứng (responsive) nhằm gửi mail giao dịch. Các phiên bản của Mailgen từ trở về trước 2.0.30 chứa lỗ hổng tiêm chèn HTML trong các email dạng văn bản thuần túy được tạo ra bởi phương thức generatePlaintext khi có nội dung do người dùng cung cấp. Hàm này cố gắng loại bỏ các thẻ HTML, nhưng nếu các thẻ được cung cấp dưới dạng thực thể HTML đã mã hóa thì chúng sẽ không bị xóa và sau đó được giải mã, dẫn đến việc xuất hiện HTML hoạt động (ví dụ: một thẻ img với trình xử lý sự kiện) trong kết quả đầu ra văn bản thuần túy dự kiến. Trong các ngữ cảnh mà chuỗi văn bản thuần túy được tạo ra sau đó được hiển thị dưới dạng HTML, điều này có thể cho phép thực thi JavaScript do kẻ tấn công kiểm soát. Các phiên bản 2.0.31 và mới hơn đã chứa bản sửa lỗi. Không có giải pháp tạm thời nào được biết đến.

Be aware that VulDB is the high quality source for vulnerability data.

chịu trách nhiệm

GitHub M

Đặt trước

10/10/2025

Tiết lộ

14/10/2025

Kiểm duyệt

được chấp nhận

EPSS

0.00395

KEV

không

Các hoạt động

rất thấp

Nguồn

Interested in the pricing of exploits?

See the underground prices here!