CVE-2026-46616
ŚrednieCVSS 5.4Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 9 — wyżej niż 9% wszystkich znanych CVE
Streszczenie
Umbraco to system zarządzania treścią oparty na ASP.NET. W wersjach przed 13.14.0 i 17.4.0 niektóre kontrolery Surface w CMS nie walidują URL-i przekierowań, co naraża szablony Razor, które korzystają z parametrów zapytania kontrolowanych przez użytkownika, na ataki związane z złośliwym przekierowaniem.
Ocena ryzyka
Brak walidacji URL-i przekierowań może prowadzić do nieautoryzowanych przekierowań użytkowników na złośliwe strony, co stwarza ryzyko kradzieży danych lub infekcji złośliwym oprogramowaniem.
Rekomendacja
Zaleca się aktualizację Umbraco do wersji 13.14.0 lub 17.4.0, aby usunąć tę podatność oraz wdrożenie dodatkowych mechanizmów walidacji URL-i przekierowań.
Oryginalny opis (angielski, źródło NVD)
Umbraco is an ASP.NET CMS. Prior to versions 13.14.0 and 17.4.0, some of the Surface Controllers in the CMS provide to support member related operations fail to validate redirect URLs, making Razor templates that derive 'RedirectUrl' from user-controlled query parameters vulnerable to malicious redirect attacks. This issue has been patched in versions 13.14.0 and 17.4.0.

