Avisos de Seguridad › IAIP-2026-001

Inyección de hipervínculos en formularios públicos

La entrada del usuario se reflejaba en los correos electrónicos salientes del sistema. Corregido el mismo día.

ID del aviso IAIP-2026-001

Publicado 2026-04-20

Gravedad Medium · CVSS 5.3

Estado Resuelto (desplegado)

Reportero Ather Iqbal (OSCP, OSWE) — Alpha Inferno Pvt Ltd

Afectado Endpoints públicos de signup, register y contact en interaip.ai

← Volver a todos los avisos

Resumen

Una vulnerabilidad de inyección de hipervínculos permitía que el contenido de los campos "name", "company" y "phone" de los formularios públicos se reflejara en los correos electrónicos salientes del sistema. Combinado con el uso de sub-direcciones (user+tag@gmail.com), un atacante podía utilizar la infraestructura de envío de confianza de InterAIP.ai para entregar enlaces de phishing a terceros.

No era posible la apropiación de cuentas ni la enumeración de usuarios. Durante la remediación también se identificó y corrigió un riesgo secundario de inyección de cabeceras CRLF en SmtpMailer.

Referencia interna: INT-206

Créditos

Gracias a Ather Iqbal

Nuestro agradecimiento a Ather Iqbal (OSCP, OSWE) de Alpha Inferno Pvt Ltd por la divulgación responsable de este problema. Aunque el informe llegó fuera de un programa formal de divulgación, el nivel de detalle técnico y el PoC en vídeo fueron de gran calidad y nos ayudaron a remediar rápidamente.

← Volver a todos los avisos

Divulgación responsable

¿Ha encontrado un problema de seguridad en interaip.ai o en nuestro widget? Nos gustaría saberlo. Envíe un correo electrónico a security@interaip.ai con una descripción, los pasos de reproducción y cualquier PoC. Confirmamos en un día hábil y le mantenemos informado hasta la remediación.