Se han lanzado actualizaciones de seguridad que corrigen una vulnerabilidad de severidad alta en Laravel. Un actor malicioso podría omitir la función de seguridad o suplantar la identidad del servicio de correo electrónico.
Productos afectados
- Versiones anteriores a la 13.9.0
- Versiones anteriores a la 12.60.0
Impacto
La vulnerabilidad se ha identificado como:
CVE-2026-48019: con una puntuación de 8.9 en CVSS v3.0. Existe una vulnerabilidad de inyección de CRLF en el componente de validación de correo electrónico de Laravel. Este se presenta en aplicaciones que envían correos a direcciones proporcionadas por el usuario y se activa al combinarse con la forma en que Symfony Mailer y Symfony Mime gestionan ciertas secuencias de caracteres, lo que permitiría a un actor malicioso no autenticado manipular el contenido de los correos salientes, desviar mensajes hacia destinatarios no deseados o utilizar el servidor de la aplicación para el envío de spam.
Recomendación
Actualizar a la última versión disponible a través del sitio web oficial del fabricante.
Referencias