CVE-2026-34975

Name of the Vulnerable Software and Affected Versions Plunk versões anteriores a 0.8.0

Description Plunk, uma plataforma de e-mail construída sobre AWS SES, apresentava uma vulnerabilidade de injeção de cabeçalho CRLF no componente SESService.ts. Dados fornecidos pelo usuário para from.name, subject, chaves/valores de cabeçalho personalizados e nomes de arquivos de anexos eram incluídos diretamente em mensagens MIME brutas sem a devida sanitização. Um usuário da API autenticado poderia injetar cabeçalhos de e-mail arbitrários, como Bcc ou Reply-To, incorporando caracteres de retorno de carro/nova linha nesses campos, potencialmente permitindo o encaminhamento silencioso de e-mails, o redirecionamento de respostas ou a falsificação do remetente.

Recommendations Atualize para a versão 0.8.0 ou posterior.