js · nodemailerAtenção
Nodemailer: Injeção de cabeçalho via comentários List-* não sanitizados
A construção dos cabeçalhos List-* a partir de comentários fornecidos pelo chamador não sanitiza caracteres CR/LF, permitindo injeção de cabeçalho.
O que mudou
A construção dos cabeçalhos List-* a partir de comentários fornecidos pelo chamador não sanitiza caracteres CR/LF, permitindo injeção de cabeçalho.
Quem isso afeta
Aplicações que usam Nodemailer e permitem que usuários de baixo privilégio ou não autenticados influenciem campos list.*.comment.
O que fazer hoje
Atualize o Nodemailer para uma versão corrigida assim que disponível, ou sanitize os comentários removendo CR/LF antes de passar para sendMail.
A esteira
Coletado→
Auditado→
Redigido→
Publicado