CVE-2026-42195 in drawioinfo

Zusammenfassung

von VulDB • 13.05.2026

draw.io ist eine konfigurierbare Diagramm- und Whiteboard-Anwendung. Vor Version 29.7.9 akzeptiert der draw.io-Client einen URL-Parameter `?gitlab=`, der die während der OAuth-Anmeldung verwendete GitLab-Server-URL überschreibt. Ein manipulierter Link bewirkt, dass der Klick des Benutzers auf den Dialog „In GitLab autorisieren“ in draw.io ein Popup auf einem vom Angreifer kontrollierten Host öffnet, anstatt auf gitlab.com. Dies kann zu Credential-Fishing und der Exfiltration von Session-State-Tokens führen. Dieses Problem wurde in Version 29.7.9 behoben.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Zuständig

GitHub M

Reservieren

25.04.2026

Veröffentlichung

09.05.2026

Moderieren

akzeptiert

Eintrag

VDB-362378

CPE

bereit

CWE

CWE-601 (bestätigt)

CVSS

3.4 (CNA)

EPSS

0.00030

KEV

nein

Aktivitäten

very low

Quellen

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-42195
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-42195
CVE Details	https://www.cvedetails.com/cve/CVE-2026-42195/

◂ Zurück Übersicht Weiter ▸

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!