CVE-2026-42193
KrytyczneStreszczenie
Plunk to otwartoźródłowa platforma e-mailowa, która przed wersją 0.9.0 nie weryfikowała podpisu SNS, certyfikatu ani ARN tematu dla powiadomień Amazon SNS na końcówce /webhooks/sns. To umożliwia atakującym fałszowanie żądań webhooków.
Ocena ryzyka
Atakujący bez uwierzytelnienia może wywołać automatyzacje workflow, wypisywać kontakty oraz manipulować metrykami dostarczania e-maili, co może prowadzić do wyczerpania kredytów rozliczeniowych.
Rekomendacja
Zaleca się aktualizację do wersji 0.9.0 lub nowszej, aby zabezpieczyć się przed tymi atakami.
Oryginalny opis (angielski, źródło NVD)
Plunk is an open-source email platform built on top of AWS SES. Prior to version 0.9.0, the /webhooks/sns endpoint accepts Amazon SNS notification payloads from unauthenticated requests without verifying the SNS signature, certificate, or topic ARN, meaning anyone can forge a valid-looking webhook request. This allows an unauthenticated attacker to spoof SNS events to trigger workflow automations, unsubscribe contacts, manipulate email delivery metrics, and potentially exhaust billing credits. This issue has been patched in version 0.9.0.

