Sicherheitshinweise › IAIP-2026-001

Hyperlink-Injection in öffentlichen Formularen

Nutzereingaben wurden in ausgehenden System-E-Mails reflektiert. Am selben Tag behoben.

Advisory-ID IAIP-2026-001

Veröffentlicht 2026-04-20

Schweregrad Medium · CVSS 5.3

Status Behoben (ausgerollt)

Melder Ather Iqbal (OSCP, OSWE) — Alpha Inferno Pvt Ltd

Betroffen Öffentliche Signup-, Register- und Kontakt-Endpunkte auf interaip.ai

← Zurück zu allen Hinweisen

Zusammenfassung

Eine Hyperlink-Injection-Schwachstelle ermöglichte es, dass Inhalte der Felder „name", „company" und „phone" öffentlicher Formulare in ausgehenden System-E-Mails reflektiert wurden. In Verbindung mit Sub-Adress-Aliasing (user+tag@gmail.com) konnte ein Angreifer die vertrauenswürdige Versandinfrastruktur von InterAIP.ai nutzen, um Phishing-Links an Dritte zu versenden.

Eine Account-Übernahme oder Nutzer-Enumeration war nicht möglich. Ein sekundäres CRLF-Header-Injection-Risiko im SmtpMailer wurde während der Behebung ebenfalls identifiziert und behoben.

Interne Referenz: INT-206

Danksagungen

Dank an Ather Iqbal

Unser Dank gilt Ather Iqbal (OSCP, OSWE) von Alpha Inferno Pvt Ltd für die verantwortungsvolle Offenlegung dieses Problems. Obwohl die Meldung außerhalb eines formalen Disclosure-Programms einging, waren die technische Detailtiefe und das beigefügte Video-PoC qualitativ hochwertig und halfen uns, schnell zu reagieren.

← Zurück zu allen Hinweisen

Responsible Disclosure

Haben Sie ein Sicherheitsproblem auf interaip.ai oder in unserem Widget entdeckt? Wir hören gerne davon. Senden Sie eine E-Mail an security@interaip.ai mit Beschreibung, Reproduktionsschritten und ggf. PoC. Wir bestätigen innerhalb eines Werktags und halten Sie bis zur Behebung auf dem Laufenden.