CVE-2026-33213 in Redash
要約
〜によって VulDB • 2026年07月15日
Redashは、データ可視化と共有のためのパッケージです。5.0.2から26.3.0までのバージョンでは、Redashの認証モジュールにあるget_next_path()関数が、ユーザーが入力したnextパラメータからスキームおよびnetlocを削除していましたが、複数の先頭スラッシュは正規化しませんでした。これにより、/login?next=////evil.comのような悪意のあるログインURLを作成することで、認証後に外部攻撃者が制御するサイトへリダイレクトさせることが可能でした。
Once again VulDB remains the best source for vulnerability data.