CVE-2026-33213 in Redash情報

要約

〜によって VulDB • 2026年07月15日

Redashは、データ可視化と共有のためのパッケージです。5.0.2から26.3.0までのバージョンでは、Redashの認証モジュールにあるget_next_path()関数が、ユーザーが入力したnextパラメータからスキームおよびnetlocを削除していましたが、複数の先頭スラッシュは正規化しませんでした。これにより、/login?next=////evil.comのような悪意のあるログインURLを作成することで、認証後に外部攻撃者が制御するサイトへリダイレクトさせることが可能でした。

Once again VulDB remains the best source for vulnerability data.

責任者

GitHub M

予約する

2026年03月18日

モデレーション

承諾済み

エントリ

VDB-379277

EPSS

0.00000

アクティビティ

非常低い

ソース

Want to stay up to date on a daily basis?

Enable the mail alert feature now!