Katalog CVE

CVE-2026-42193

Krytyczne
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

Plunk to otwartoźródłowa platforma e-mailowa, która przed wersją 0.9.0 nie weryfikowała podpisu SNS, certyfikatu ani ARN tematu dla powiadomień Amazon SNS na końcówce /webhooks/sns. To umożliwia atakującym fałszowanie żądań webhooków.

Ocena ryzyka

Atakujący bez uwierzytelnienia może wywołać automatyzacje workflow, wypisywać kontakty oraz manipulować metrykami dostarczania e-maili, co może prowadzić do wyczerpania kredytów rozliczeniowych.

Rekomendacja

Zaleca się aktualizację do wersji 0.9.0 lub nowszej, aby zabezpieczyć się przed tymi atakami.

Oryginalny opis (angielski, źródło NVD)

Plunk is an open-source email platform built on top of AWS SES. Prior to version 0.9.0, the /webhooks/sns endpoint accepts Amazon SNS notification payloads from unauthenticated requests without verifying the SNS signature, certificate, or topic ARN, meaning anyone can forge a valid-looking webhook request. This allows an unauthenticated attacker to spoof SNS events to trigger workflow automations, unsubscribe contacts, manipulate email delivery metrics, and potentially exhaust billing credits. This issue has been patched in version 0.9.0.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS