CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2026-45307

MediumCVSS 6.1
Published: Updated: Translated: NVD NIST

Summary

Speakr to osobista, samodzielnie hostowana aplikacja webowa do transkrypcji nagrań audio. W wersjach przed 0.8.20-alpha, pomocnicza funkcja is_safe_url() nieprawidłowo walidowała cele przekierowań po zalogowaniu, co mogło prowadzić do przekierowania na złośliwe adresy URL.

Risk Assessment

Atakujący mógł wykorzystać tę podatność do przejęcia kontroli nad przekierowaniami, co stwarza ryzyko przekierowania użytkowników na złośliwe strony. Może to prowadzić do kradzieży danych lub innych ataków na użytkowników aplikacji.

Recommendation

Zaleca się aktualizację aplikacji Speakr do wersji 0.8.20-alpha lub nowszej, aby usunąć tę podatność. Dodatkowo, warto przeprowadzić audyt bezpieczeństwa aplikacji w celu identyfikacji innych potencjalnych problemów.

Original NVD description (English source)

Speakr is a personal, self-hosted web application designed for transcribing audio recordings. Prior to 0.8.20-alpha, the is_safe_url() helper used to validate post-login redirect targets applied urljoin(request.host_url, target) before parsing, while the controller passed the raw target to redirect(). A scheme-relative input such as ////evil.com resolved to a same-host URL during validation but was emitted verbatim in the Location header, where the browser interpreted it as a network-path-relative redirect to an attacker-controlled host. This vulnerability is fixed in 0.8.20-alpha.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS