Bigbluewhale111

**Nome do Software Vulnerável e Versões Afetadas** Plunk versões anteriores a 0.9.0 **Descrição** Um problema de cross-site scripting (XSS) armazenado existe no recurso de gerenciamento de campanhas. Membros autenticados de projetos podem incorporar scripts maliciosos no corpo do e-mail de uma campanha, que são armazenados e posteriormente renderizados no painel do administrador usando o `dangerouslySetInnerHTML` do React sem a sanitização do HTML. Isso permite que um membro com menos privilégios execute scripts no contexto de um administrador ou outro membro que visualize a campanha, podendo levar ao sequestro de sessão ou ações não autorizadas. **Recomendações** Atualizar para a versão 0.9.0.

**Nome do Software Vulnerável e Versões Afetadas** Plunk versões anteriores a 0.9.0 **Descrição** O endpoint '/webhooks/sns' aceita payloads de notificação do Amazon SNS de solicitações não autenticadas sem verificar a assinatura do SNS, o certificado ou o ARN do tópico. Isso permite que um invasor não autenticado forje solicitações de webhook e simule eventos de SNS para disparar automações de fluxo de trabalho, cancelar a inscrição de contatos, manipular métricas de entrega de e-mail e, potencialmente, esgotar créditos de faturamento. **Recomendações** Atualize para a versão 0.9.0. Como medida paliativa temporária, restrinja o acesso ao endpoint '/webhooks/sns' para minimizar o risco de exploração.