CVE-2026-40871: Stored SQL Injection ẩn trong mailcow quarantine — bài học cho self-hosted email

GHSA-r8fq-wrfm-cj2q vừa được mailcow công bố ngày 16/04/2026: lỗ hổng Second-Order SQL Injection (CVSS 7.2 High) qua trường quarantine_category. Payload nằm im trong DB rồi nổ khi quarantine_notify.py chạy nền — và rò dữ liệu ra qua chính email thông báo. Đã vá trong 2026-03b.