CVE-2025-62380

Nome do Software Vulnerável e Versões Afetadas mailgen versões até 2.0.31

Descrição mailgen é um pacote Node.js utilizado para gerar e-mails HTML responsivos. Existe uma falha no processo de geração de e-mail em texto simples ao utilizar o método generatePlaintext com entrada não confiável. O código tenta remover tags HTML utilizando uma expressão regular e, em seguida, decodifica entidades HTML, mas determinados caracteres separadores de linha Unicode dentro das tags não são removidos. Essas tags codificadas são subsequentemente decodificadas em HTML válido, permitindo que HTML inesperado permaneça na saída em texto simples. Isso pode levar à execução de scripts fornecidos pelo atacante no navegador da vítima, caso a string resultante seja processada em um contexto onde o HTML é interpretado.

Recomendações Atualize para a versão 2.0.32 ou posterior.