Vulnerabilidad en Umbraco (CVE-2025-54425)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-200
Revelación de información
Fecha de publicación:
30/07/2025
Última modificación:
31/07/2025
Descripción
Umbraco es un CMS ASP.NET. En las versiones 13.0.0 a 13.9.2, 15.0.0 a 15.4.1 y 16.0.0 a 16.1.0, se puede restringir el acceso público a la API de entrega de contenido, donde se debe proporcionar una clave de API en un encabezado para autorizar la solicitud. También es posible configurar el almacenamiento en caché de salida, de modo que las salidas de la API de entrega se almacenen en caché durante un período, lo que mejora el rendimiento. Existe un problema cuando se utilizan estas dos opciones juntas: el almacenamiento en caché no varía según el encabezado que contiene la clave de API. Por lo tanto, es posible que un usuario sin una clave de API válida recupere una respuesta para una ruta y consulta determinadas si se ha solicitado recientemente y se ha almacenado en caché mediante una solicitud con una clave válida. Esto se solucionó en las versiones 13.9.3, 15.4.4 y 16.1.1.
Impacto
Puntuación base 3.x
5.30
Gravedad 3.x
MEDIA
Referencias a soluciones, herramientas e información
- https://docs.umbraco.com/umbraco-cms/reference/content-delivery-api
- https://github.com/umbraco/Umbraco-CMS/commit/7e82c258eebaa595eadc9b000461e27d02bc030e
- https://github.com/umbraco/Umbraco-CMS/commit/9f37db18d11c8ba4e3ecdeb35291af30ebee7cd0
- https://github.com/umbraco/Umbraco-CMS/commit/da43086017e1e318f6b5373391d78421efebce3a
- https://github.com/umbraco/Umbraco-CMS/security/advisories/GHSA-75vq-qvhr-7ffr