Vulnerabilidad en Umbraco.Forms.Issues de umbraco (CVE-2026-24687)
Gravedad CVSS v4.0:
MEDIA
Tipo:
CWE-22
Limitación incorrecta de nombre de ruta a un directorio restringido (Path Traversal)
Fecha de publicación:
29/01/2026
Última modificación:
04/02/2026
Descripción
Umbraco Forms es un constructor de formularios que se integra con el sistema de gestión de contenidos Umbraco. Es posible que un usuario autenticado del backoffice enumere y recorra rutas/archivos en el sistema de archivos del sistema y lea su contenido, en instalaciones de Umbraco con Forms en Mac/Linux. Dado que Umbraco Cloud se ejecuta en un entorno Windows, los usuarios de Cloud no se ven afectados. Este problema afecta a las versiones 16 y 17 de Umbraco Forms y está parcheado en las versiones 16.4.1 y 17.1.1. Si la actualización no es posible de inmediato, los usuarios pueden mitigar esta vulnerabilidad configurando un WAF o un proxy inverso para bloquear las solicitudes que contengan secuencias de salto de ruta ('../', '..\') en el parámetro 'fileName' del endpoint de exportación, restringiendo el acceso a la red del backoffice de Umbraco a rangos de IP de confianza, y/o bloqueando completamente el endpoint '/umbraco/forms/API/v1/export' si la función de exportación no es necesaria. Sin embargo, la actualización a la versión parcheada es muy recomendable.
Impacto
Puntuación base 4.0
6.00
Gravedad 4.0
MEDIA