PT-2026-55935 · Swoosh · Swoosh

Jonatan Männchen

+2

·

Publicado

2026-07-06

·

Atualizado

2026-07-06

·

CVE-2026-54893

CVSS v4.0

2.1

Baixa

VetorAV:L/AC:L/AT:P/PR:N/UI:N/VC:N/VI:L/VA:N/SC:L/SI:L/SA:N
Nome do Software Vulnerável e Versões Afetadas swoosh versões 1.12.0 até 1.26.2
Descrição Existe uma injeção de caminho de URL no adaptador Microsoft Graph do Swoosh. O componente Swoosh.Adapters.MsGraph constrói a URL de requisição da API do Microsoft Graph interpolando o endereço de e-mail do remetente no caminho /users/{from}/sendMail sem validação ou codificação percentual (percent-encoding). Em aplicações onde o endereço from é derivado de entradas não confiáveis ou influenciadas pelo usuário, um invasor pode usar caracteres especiais de URL, como /, ? ou #, na parte local do endereço para escapar do segmento de caminho pretendido. Isso permite que o invasor reescreva o caminho da requisição e a string de consulta, redirecionando a requisição POST autenticada para outros endpoints do Graph dentro dos escopos do token, utilizando o token de portador (bearer token) da aplicação.
Recomendações Atualize para a versão 1.26.3 ou posterior. Valide ou rejeite endereços de remetente que contenham caracteres fora do conjunto permitido pela RFC 5321, especificamente /, ?, # e .., antes de passar o e-mail para o adaptador. Configure uma :url estática na configuração do adaptador para ignorar a interpolação do endereço from no caminho da requisição.

Correção

Improper Encoding or Escaping of Output

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

Enumeração de Fraquezas

Identificadores relacionados

CVE-2026-54893
GHSA-754J-98WH-57RF

Produtos afetados

Swoosh