Katalog CVE

CVE-2026-46616

ŚrednieCVSS 5.4
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.03%

Percentyl 9 — wyżej niż 9% wszystkich znanych CVE

Streszczenie

Umbraco to system zarządzania treścią oparty na ASP.NET. W wersjach przed 13.14.0 i 17.4.0 niektóre kontrolery Surface w CMS nie walidują URL-i przekierowań, co naraża szablony Razor, które korzystają z parametrów zapytania kontrolowanych przez użytkownika, na ataki związane z złośliwym przekierowaniem.

Ocena ryzyka

Brak walidacji URL-i przekierowań może prowadzić do nieautoryzowanych przekierowań użytkowników na złośliwe strony, co stwarza ryzyko kradzieży danych lub infekcji złośliwym oprogramowaniem.

Rekomendacja

Zaleca się aktualizację Umbraco do wersji 13.14.0 lub 17.4.0, aby usunąć tę podatność oraz wdrożenie dodatkowych mechanizmów walidacji URL-i przekierowań.

Oryginalny opis (angielski, źródło NVD)

Umbraco is an ASP.NET CMS. Prior to versions 13.14.0 and 17.4.0, some of the Surface Controllers in the CMS provide to support member related operations fail to validate redirect URLs, making Razor templates that derive 'RedirectUrl' from user-controlled query parameters vulnerable to malicious redirect attacks. This issue has been patched in versions 13.14.0 and 17.4.0.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS