CVE-2026-35460

Name of the Vulnerable Software and Affected Versions Papra versões anteriores a 26.4.0

Description Papra é uma plataforma minimalista de gerenciamento e arquivamento de documentos. Antes da versão 26.4.0, os modelos de e-mail transacionais interpolam user.name diretamente no HTML sem escape ou sanitização adequados. Um invasor que se registrar com um nome de exibição contendo tags HTML pode injetar essas tags nos corpos dos e-mails de verificação e redefinição de senha. Como os e-mails se originam de um domínio legítimo (por exemplo, auth@mail.papra.app), isso possibilita ataques de phishing convincentes que parecem vir de notificações oficiais do Papra.

Recommendations Atualize para a versão 26.4.0 ou posterior.