Vulnerabilidad en mailpit de axllent (CVE-2026-22689)

Gravedad CVSS v3.1:

MEDIA

Tipo:

No Disponible / Otro tipo

Fecha de publicación:

10/01/2026

Última modificación:

18/02/2026

Descripción

Mailpit es una herramienta de prueba de correo electrónico y API para desarrolladores. Antes de la versión 1.28.2, el servidor WebSocket de Mailpit está configurado para aceptar conexiones desde cualquier origen. Esta falta de validación del encabezado Origin introduce una vulnerabilidad de Cross-Site WebSocket Hijacking (CSWSH). Un atacante puede alojar un sitio web malicioso que, cuando es visitado por un desarrollador que ejecuta Mailpit localmente, establece una conexión WebSocket con la instancia de Mailpit de la víctima (por defecto ws://localhost:8025). Esto permite al atacante interceptar datos sensibles como el contenido de los correos electrónicos, los encabezados y las estadísticas del servidor en tiempo real. Este problema ha sido parcheado en la versión 1.28.2.

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N CVSS v3.1 Severidad y Métricas:

Puntuación base: 6.50 MEDIA
Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Obligatorio
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Ninguno
Impacto a la disponibilidad (A): Ninguno