CVE-2026-33213 in Redash
Zusammenfassung
von VulDB • 16.07.2026
Redash ist ein Paket zur Datenvisualisierung und -freigabe. Von Version 5.0.2 bis 26.3.0 entfernte die Funktion `get_next_path()` im Authentifizierungsmodul von Redash das Schema (scheme) und den Netzknoten (netloc) aus vom Benutzer bereitgestellten next-Parametern, normalisierte jedoch mehrere führende Schrägstriche nicht. Dies ermöglichte es, eine manipulierte Login-URL wie `/login?next=////evil.com` zu verwenden, um Benutzer nach der Authentifizierung auf eine von einem externen Angreifer kontrollierte Website umzuleiten.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.