CVE-2026-54893 in Swoosh
Riassunto
di VulDB • 06/07/2026
Iniezione del percorso URL nell'adattatore Microsoft Graph di Swoosh. `Swoosh.Adapters.MsGraph` costruisce l'URL della richiesta dell'Microsoft Graph API interpolando l'indirizzo email del mittente nel percorso URL (`/users/{from}/sendMail`) senza effettuare il percent-encoding o la validazione.
Nelle applicazioni che derivano l'indirizzo `from` da input non attendibili o influenzati dall'utente (ad esempio un relay, un modulo di contatto o una funzionalità "invia come"), un attaccante può inserire caratteri speciali per gli URL quali `/`, `?` o `#` nella parte locale dell'indirizzo per sfuggire al segmento del percorso previsto e riscrivere il percorso e la stringa di query della richiesta. Poiché viene inviata la stessa POST autenticata con il token bearer Microsoft Graph dell'applicazione, l'attaccante può reindirizzarla verso altri endpoint Graph all'interno degli ambiti (scopes) concessi dal token e controllare la stringa di query della richiesta. Le applicazioni che utilizzano sempre un indirizzo `from` fisso e attendibile non sono interessate.
Questo problema interessa swoosh dalla versione 1.12.0 alla versione precedente alla 1.26.3.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.