CVE-2025-47280

Umbraco Forms is a form builder that integrates with the Umbraco content management system. Starting in the 7.x branch and prior to versions 13.4.2 and 15.1.2, the 'Send email' workflow does not HTML encode the user-provided field values in the sent email message, making any form with this workflow configured vulnerable, as it allows sending the message from a trusted system and address, potentially bypassing spam and email client security systems. This issue affects all (supported) versions Umbraco Forms and is patched in 13.4.2 and 15.1.2. Unpatched or unsupported versions can workaround this issue by using the `Send email with template (Razor)` workflow instead or writing a custom workflow type. To avoid accidentally using the vulnerable workflow again, the `SendEmail` workflow type can be removed using a composer available in the GitHub Security Advisory for this vulnerability.
Configurations

Configuration 1 (hide)

OR cpe:2.3:a:umbraco:umbraco_forms:*:*:*:*:*:*:*:*
cpe:2.3:a:umbraco:umbraco_forms:*:*:*:*:*:*:*:*

History

22 May 2025, 18:44

Type Values Removed Values Added
Summary
  • (es) Umbraco Forms es un generador de formularios que se integra con el sistema de gestión de contenido Umbraco. A partir de la rama 7.x y en versiones anteriores a la 13.4.2 y la 15.1.2, el flujo de trabajo "Send email" no codifica en HTML los valores de los campos proporcionados por el usuario en el correo electrónico enviado, lo que hace vulnerable cualquier formulario con este flujo de trabajo configurado, ya que permite enviar el mensaje desde un sistema y una dirección de confianza, lo que podría eludir los sistemas de seguridad de correo no deseado y de los clientes de correo electrónico. Este problema afecta a todas las versiones compatibles de Umbraco Forms y está parcheado en las versiones 13.4.2 y 15.1.2. Las versiones sin parchear o sin soporte pueden solucionar este problema utilizando el flujo de trabajo "Enviar correo electrónico con plantilla (Razor)" o creando un tipo de flujo de trabajo personalizado. Para evitar volver a utilizar accidentalmente el flujo de trabajo vulnerable, el tipo de flujo de trabajo "Enviar correo electrónico" se puede eliminar mediante un editor disponible en el aviso de seguridad de GitHub para esta vulnerabilidad.
First Time Umbraco umbraco Forms
Umbraco
CVSS v2 : unknown
v3 : unknown
v2 : unknown
v3 : 6.1
CPE cpe:2.3:a:umbraco:umbraco_forms:*:*:*:*:*:*:*:*
References () https://github.com/umbraco/Umbraco.Forms.Issues/security/advisories/GHSA-2qrj-g9hq-chph - () https://github.com/umbraco/Umbraco.Forms.Issues/security/advisories/GHSA-2qrj-g9hq-chph - Exploit, Vendor Advisory

13 May 2025, 17:16

Type Values Removed Values Added
New CVE

Information

Published : 2025-05-13 17:16

Updated : 2025-05-22 18:44


NVD link : CVE-2025-47280

Mitre link : CVE-2025-47280

CVE.ORG link : CVE-2025-47280


JSON object : View

Products Affected

umbraco

  • umbraco_forms
CWE
CWE-116

Improper Encoding or Escaping of Output