CVE-2026-41426

Name of the Vulnerable Software and Affected Versions pretalx versões anteriores a 2026.1.0

Description Um invasor não autenticado pode enviar e-mails renderizados em HTML arbitrários a partir do endereço do remetente configurado de uma instância pretalx. Isso é feito incorporando sintaxe de link markdown ou HTML malformada em um marcador de posição de modelo controlado pelo usuário, como o nome de exibição da conta. Um vetor de exploração principal envolve o fluxo de redefinição de senha, onde um invasor registra uma conta com um nome malicioso e dispara uma redefinição de senha para o endereço de e-mail de uma vítima. Como o e-mail é enviado do endereço do remetente legítimo, ele passa pelas validações SPF, DKIM e DMARC, facilitando ataques de phishing.

Recommendations Atualizar para a versão 2026.1.0.