漏洞关键信息总结 漏洞名称: HTML Injection in Transactional Emails via Unescaped User Display Name (通过未转义的用户显示名称在交易邮件中进行HTML注入) CVE ID: CVE-2026-35460 影响范围: 受影响版本: <= 26.3.0 已修复版本: 26.4.0 漏洞概述: Papra 的两个交易邮件模板(验证邮件 和重置密码邮件 )在构建邮件内容时,直接将 (用户显示名称)插入到 HTML 中,未进行任何转义或清理。 攻击者可以注册一个包含 HTML 标签(如 , , 等)的显示名称。当系统向该用户发送验证或重置密码邮件时,这些 HTML 标签会被直接渲染。由于邮件是从合法域名(如 )发送的,攻击者可以利用此漏洞构造看起来像官方通知的钓鱼邮件,诱导用户点击恶意链接。 修复方案: 在将 插入邮件模板之前,应用现有的 函数对其进行清理。 或者,如果不需要完整的 HTML 清理,可以使用 或 库进行轻量级的 HTML 实体编码。 POC 代码 (Proof of Concept): 步骤 1: 注册账户并注入 HTML Payload 步骤 2: 触发密码重置邮件 步骤 3: 观察原始 HTML 负载