CVE-2025-13742

Nome do Software Vulnerável e Versões Afetadas pretix (versões afetadas não especificadas)

Descrição O software permite o uso de placeholders em modelos de e-mail que são preenchidos com dados do cliente, como o nome do participante. Se o nome de um cliente contiver formatação HTML ou Markdown, essa formatação será renderizada no e-mail final. Embora uma abordagem rigorosa de lista de permissões (allow list) previna cross-site scripting (XSS) ou ataques similares, isso pode ser explorado para manipular e-mails, potencialmente permitindo ataques de phishing ao fazer com que conteúdo fornecido pelo usuário pareça confiável. O problema envolve a renderização de formatação potencialmente maliciosa dentro do placeholder name ao construir e-mails.

Recomendações No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.