CVE-2021-47776

Nome do Software Vulnerável e Versões Afetadas Umbraco CMS versão 8.14.1

Descrição O software apresenta um problema de falsificação de solicitação no lado do servidor que permite aos atacantes manipular os parâmetros baseUrl. Essa manipulação pode ocorrer em vários pontos de extremidade do controlador, como GetContextHelpForPage, GetRemoteDashboardContent e GetRemoteDashboardCss. A exploração bem-sucedida permite que os atacantes iniciem solicitações não autorizadas no lado do servidor para hosts externos. Os pontos de extremidade da API afetados são: '/umbraco/api/dashboard/help/page', '/umbraco/api/dashboard/content' e '/umbraco/api/dashboard/css'.

Recomendações Atualize para uma versão mais recente que contenha uma correção para esta vulnerabilidade. Como medida temporária, restrinja o acesso às funções GetContextHelpForPage(), GetRemoteDashboardContent() e GetRemoteDashboardCss().