CVE-2025-54425

Nome do Software Vulnerável e Versões Afetadas Versões do Umbraco 13.0.0 a 13.9.2 Versões do Umbraco 15.0.0 a 15.4.1 Versões do Umbraco 16.0.0 a 16.1.0

Descrição A API de entrega de conteúdo do Umbraco pode ser restrita para exigir uma chave de API em um cabeçalho para autorização. O cache de saída também pode ser configurado para melhorar o desempenho. Existe uma falha quando ambos os recursos estão habilitados simultaneamente, pois o cache não diferencia as solicitações com base no cabeçalho da chave de API. Isso permite que um usuário não autorizado recupere respostas em cache para um caminho e consulta específicos se uma solicitação com uma chave válida tiver sido feita recentemente.

Recomendações Versões do Umbraco 13.0.0 a 13.9.2: Atualize para a versão 13.9.3 ou posterior. Versões do Umbraco 15.0.0 a 15.4.1: Atualize para a versão 15.4.4 ou posterior. Versões do Umbraco 16.0.0 a 16.1.0: Atualize para a versão 16.1.1 ou posterior. Como solução alternativa, remova ou reduza o período de tempo do cache de saída. Como solução alternativa, implemente restrições adicionais para acessar a API de entrega, como por endereço IP.