CVE-2026-22689

Nome do Software Vulnerável e Versões Afetadas Versões do Mailpit anteriores a 1.28.2

Descrição O Mailpit, uma ferramenta de teste de e-mail e API para desenvolvedores, contém um problema de Cross-Site WebSocket Hijacking (CSWSH) em seu servidor WebSocket. O servidor, em versões anteriores a 1.28.2, não valida o cabeçalho Origin, permitindo que um atacante estabeleça uma conexão WebSocket com uma instância do Mailpit de um desenvolvedor. Essa conexão, estabelecida por meio de um site malicioso visitado por um desenvolvedor que executa o Mailpit localmente, permite que o atacante intercepte dados sensíveis em tempo real, incluindo conteúdo de e-mails, cabeçalhos e estatísticas do servidor. O endpoint WebSocket padrão é ws://localhost:8025.

Recomendações Atualize o Mailpit para a versão 1.28.2 ou posterior.