CRITICAL🇬🇧 English

CVE-2026-6795

Open Redirect w DivvyDrive umożliwiający przekierowanie do złośliwej strony

CVSS 9.6v3.1pub. 2026-05-07

Podatność typu open redirect (CWE-601) w aplikacji DivvyDrive firmy DivvyDrive Information Technologies Inc. pozwala atakującemu na przekierowanie użytkownika do niezaufanej witryny poprzez wstrzyknięcie parametru (parameter injection). Podatność uzyskała krytyczny poziom CVSS 9.6, ponieważ może być wykorzystana zdalnie bez uwierzytelnienia, a jej skutki obejmują pełne naruszenie poufności, integralności i dostępności w kontekście zmienionego zakresu (Scope: Changed).

Pokaż oryginał (EN)

URL redirection to untrusted site ('open redirect') vulnerability in DivvyDrive Information Technologies Inc. DivvyDrive allows Parameter Injection. This issue affects DivvyDrive: from 4.8.2.9 before 4.8.3.2.

🤖 Analiza AI
Jak działa

Atakujący przygotowuje specjalnie spreparowany link do DivvyDrive zawierający zmanipulowany parametr URL wskazujący na kontrolowaną przez niego zewnętrzną witrynę. Gdy ofiara kliknie taki link (wymagana interakcja użytkownika — UI:R), aplikacja przetwarza parametr bez odpowiedniej walidacji i przekierowuje użytkownika na złośliwą stronę. Mechanizm parameter injection umożliwia ominięcie ewentualnych filtrów i osadzenie nieautoryzowanej wartości docelowej w przekierowaniu.

Skutki

Atakujący może nakłonić użytkownika do odwiedzenia złośliwej witryny, co w konsekwencji może prowadzić do phishingu, kradzieży poświadczeń, instalacji złośliwego oprogramowania lub przejęcia sesji. Wysoki poziom CVSS wskazuje na potencjalne poważne naruszenie poufności, integralności i dostępności zasobów użytkownika.

Mitygacja

Należy zaktualizować DivvyDrive do wersji 4.8.3.2 lub nowszej. Szczegółowe informacje dostępne są w referencjach producenta oraz w komunikacie bezpieczeństwa pod adresem: https://siberguvenlik.gov.tr/guvenlik-bildirimleri/detay/tr-26-0182

Kogo dotyczy

DivvyDrive w wersjach od 4.8.2.9 do 4.8.3.2 (wyłącznie), czyli wersje od 4.8.2.9 włącznie przed wersją 4.8.3.2.

Uwagi

Podatność została opublikowana przez tureckie centrum bezpieczeństwa cybernetycznego (siberguvenlik.gov.tr) w komunikacie TR-26-0182.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje