Katalog CVE

CVE-2026-13163

ŚrednieCVSS 5.3
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.33%

Percentyl 25 — wyżej niż 25% wszystkich znanych CVE

Streszczenie

W podatności CVE-2026-13163 występuje luka otwartego przekierowania w funkcji _safe_redirect w punkcie końcowym śledzenia kliknięć w Mailerup przed wersją 1.0.0. Umożliwia to zdalnym, nieautoryzowanym atakującym przekierowanie ofiar na dowolne zewnętrzne strony, co może prowadzić do ataków phishingowych.

Ocena ryzyka

Organizacje mogą stać się celem ataków phishingowych, co może prowadzić do kradzieży danych użytkowników oraz utraty zaufania do usług. Luka ta stwarza ryzyko dla bezpieczeństwa użytkowników i reputacji firmy.

Rekomendacja

Zaleca się aktualizację Mailerup do wersji 1.0.0 lub nowszej, aby usunąć tę podatność. Dodatkowo, warto wdrożyć dodatkowe mechanizmy zabezpieczające przed otwartymi przekierowaniami.

Oryginalny opis (angielski, źródło NVD)

Open redirect vulnerability (CWE-601) in the _safe_redirect function of the click-tracking endpoint (/c/<token>/) in Mailerup <1.0.0 on all platforms allows remote unauthenticated attackers to redirect victims to arbitrary external sites and conduct phishing attacks via a crafted u query parameter, because the URL scheme is validated (blocking javascript: and data:) but the destination host is not restricted to an allowlist, and a signing.BadSignature exception is silently caught so a valid signed token is not required.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS