CVE-2024-26151

Versões do mjml de 0.10.0 a 0.10.x

A versão 0.11.0 do mjml não é afetada, pois contém a correção para este problema. No entanto, as versões anteriores à 0.10.0 também não são afetadas.

O problema afeta usuários da biblioteca mjml-python que inserem dados não confiáveis em modelos mjml sem verificação rigorosa. Isso permite que um invasor controle o conteúdo de mensagens de e-mail enviadas pela plataforma, injetando dados maliciosos em um modelo mjml. O invasor deve ser capaz de controlar alguns dados que são posteriormente injetados em um modelo mjml, o qual é então enviado como e-mail a outros usuários. Entradas do usuário como <script> seriam renderizadas como <script> na saída HTML final.

Para as versões 0.10.0 a 0.10.x, atualize para a versão 0.11.0 para resolver o problema.

Como solução alternativa temporária para as versões afetadas, certifique-se de que entradas de usuário potencialmente não confiáveis não contenham nenhuma sequência que possa ser renderizada como HTML.