Vulnerabilidad en Umbraco Forms (CVE-2025-47280)

Gravedad CVSS v4.0:

BAJA

Tipo:

No Disponible / Otro tipo

Fecha de publicación:

13/05/2025

Última modificación:

22/05/2025

Descripción

Umbraco Forms es un generador de formularios que se integra con el sistema de gestión de contenido Umbraco. A partir de la rama 7.x y en versiones anteriores a la 13.4.2 y la 15.1.2, el flujo de trabajo "Send email" no codifica en HTML los valores de los campos proporcionados por el usuario en el correo electrónico enviado, lo que hace vulnerable cualquier formulario con este flujo de trabajo configurado, ya que permite enviar el mensaje desde un sistema y una dirección de confianza, lo que podría eludir los sistemas de seguridad de correo no deseado y de los clientes de correo electrónico. Este problema afecta a todas las versiones compatibles de Umbraco Forms y está parcheado en las versiones 13.4.2 y 15.1.2. Las versiones sin parchear o sin soporte pueden solucionar este problema utilizando el flujo de trabajo "Enviar correo electrónico con plantilla (Razor)" o creando un tipo de flujo de trabajo personalizado. Para evitar volver a utilizar accidentalmente el flujo de trabajo vulnerable, el tipo de flujo de trabajo "Enviar correo electrónico" se puede eliminar mediante un editor disponible en el aviso de seguridad de GitHub para esta vulnerabilidad.

Impacto

Vector 4.0

CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:P/VC:N/VI:N/VA:N/SC:L/SI:H/SA:N/E:U CVSS v4.0 Severidad y Métricas:

Puntuación base: 2.30 BAJA
Vector: CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:P/VC:N/VI:N/VA:N/SC:L/SI:H/SA:N/E:U

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Attack Requirements (AT): Ninguno
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Passsive
Confidentiality (VC): Ninguno
Integrity (VI): Ninguno
Availability (VA): Ninguno
Confidentiality (SC): Bajo
Integrity (SI): Alto
Availability (SA): Ninguno
Exploit Maturity (E): Unreported

Puntuación base 4.0

2.30

Gravedad 4.0

BAJA

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N CVSS v3.1 Severidad y Métricas:

Puntuación base: 6.10 MEDIA
Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Obligatorio
Alcance (S): Modificado
Impacto a la confidencialidad (C): Bajo
Impacto a la integridad (I): Bajo
Impacto a la disponibilidad (A): Ninguno

Puntuación base 3.x

6.10

Gravedad 3.x

MEDIA

Productos y versiones vulnerables

CPE	Desde	Hasta
cpe:2.3:a:umbraco:umbraco_forms::::::::	7.0.0 (incluyendo)	13.4.2 (excluyendo)
cpe:2.3:a:umbraco:umbraco_forms::::::::	14.0.0 (incluyendo)	15.1.2 (excluyendo)

Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página

Referencias a soluciones, herramientas e información

https://github.com/umbraco/Umbraco.Forms.Issues/security/advisories/GHSA-2qrj-g9hq-chph