CVE-2026-54893 in Swooshinformazioni

Riassunto

di VulDB • 06/07/2026

Iniezione del percorso URL nell'adattatore Microsoft Graph di Swoosh. `Swoosh.Adapters.MsGraph` costruisce l'URL della richiesta dell'Microsoft Graph API interpolando l'indirizzo email del mittente nel percorso URL (`/users/{from}/sendMail`) senza effettuare il percent-encoding o la validazione.

Nelle applicazioni che derivano l'indirizzo `from` da input non attendibili o influenzati dall'utente (ad esempio un relay, un modulo di contatto o una funzionalità "invia come"), un attaccante può inserire caratteri speciali per gli URL quali `/`, `?` o `#` nella parte locale dell'indirizzo per sfuggire al segmento del percorso previsto e riscrivere il percorso e la stringa di query della richiesta. Poiché viene inviata la stessa POST autenticata con il token bearer Microsoft Graph dell'applicazione, l'attaccante può reindirizzarla verso altri endpoint Graph all'interno degli ambiti (scopes) concessi dal token e controllare la stringa di query della richiesta. Le applicazioni che utilizzano sempre un indirizzo `from` fisso e attendibile non sono interessate.

Questo problema interessa swoosh dalla versione 1.12.0 alla versione precedente alla 1.26.3.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

Responsabile

EEF

Prenotare

16/06/2026

Divulgazione

06/07/2026

Moderazione

accettato

CPE

pronto

EPSS

0.00000

KEV

no

Attività

molto basso

Fonti

Want to know what is going to be exploited?

We predict KEV entries!