Vulnerabilidad en GitHub (CVE-2024-26151)
Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-20
Validación incorrecta de entrada
Fecha de publicación:
22/02/2024
Última modificación:
05/02/2025
Descripción
El paquete PyPI `mjml`, que se encuentra en el repositorio de GitHub `FelixSchwarz/mjml-python`, es una versión Python no oficial de MJML, un lenguaje de marcado creado por Mailjet. Todos los usuarios de `FelixSchwarz/mjml-python` que insertan datos que no son de confianza en plantillas mjml a menos que esos datos se verifiquen de manera muy estricta. La entrada del usuario como `<script>` se representaría como `
Impacto
Puntuación base 3.x
8.20
Gravedad 3.x
ALTA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:felixschwarz:mjml-python:0.10.0:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://github.com/FelixSchwarz/mjml-python/commit/84c495da20a91640a1ca551ace17df7f3be644aa
- https://github.com/FelixSchwarz/mjml-python/commit/8d410b7a500703080bb14ed7e3d2663fe16767e6
- https://github.com/FelixSchwarz/mjml-python/issues/52
- https://github.com/FelixSchwarz/mjml-python/releases/tag/v0.11.0
- https://github.com/FelixSchwarz/mjml-python/security/advisories/GHSA-578p-fxmm-6229
- https://github.com/FelixSchwarz/mjml-python/commit/84c495da20a91640a1ca551ace17df7f3be644aa
- https://github.com/FelixSchwarz/mjml-python/commit/8d410b7a500703080bb14ed7e3d2663fe16767e6
- https://github.com/FelixSchwarz/mjml-python/issues/52
- https://github.com/FelixSchwarz/mjml-python/releases/tag/v0.11.0
- https://github.com/FelixSchwarz/mjml-python/security/advisories/GHSA-578p-fxmm-6229
- https://www.vicarius.io/vsociety/posts/cve-2024-26151-mjml-python-vulnerability-1