Markfijneman

**Name of the Vulnerable Software and Affected Versions** pretalx versões anteriores a 2026.1.0 **Description** Um invasor não autenticado pode enviar e-mails renderizados em HTML arbitrários a partir do endereço do remetente configurado de uma instância pretalx. Isso é feito incorporando sintaxe de link markdown ou HTML malformada em um marcador de posição de modelo controlado pelo usuário, como o nome de exibição da conta. Um vetor de exploração principal envolve o fluxo de redefinição de senha, onde um invasor registra uma conta com um nome malicioso e dispara uma redefinição de senha para o endereço de e-mail de uma vítima. Como o e-mail é enviado do endereço do remetente legítimo, ele passa pelas validações SPF, DKIM e DMARC, facilitando ataques de phishing. **Recommendations** Atualizar para a versão 2026.1.0.