CVE-2026-41576

Nome do Software Vulnerável e Versões Afetadas Brave CMS versões anteriores ao commit 6c56603

Descrição O formulário de contato é publicamente acessível sem autenticação. O texto da mensagem fornecido pelo usuário é processado pela função nl2br(), que converte quebras de linha em tags <br>, mas não escapa o HTML. Esse conteúdo é então renderizado em um modelo de e-mail Blade usando a diretiva não escapada {!! $msg !!}. Consequentemente, marcações arbitrárias podem ser injetadas no corpo do e-mail. Embora os clientes de e-mail modernos geralmente bloqueiem JavaScript, eles ainda renderizam HTML, permitindo que invasores criem interfaces de phishing em e-mails enviados aos administradores.

Recomendações Atualize para a versão que contém o commit 6c56603.