Avis de sécurité › IAIP-2026-001

Injection d'hyperliens dans les formulaires publics

Les entrées utilisateur étaient reflétées dans les e-mails système sortants. Corrigé le jour même.

ID de l'avis IAIP-2026-001

Publié 2026-04-20

Gravité Medium · CVSS 5.3

Statut Résolu (déployé)

Auteur Ather Iqbal (OSCP, OSWE) — Alpha Inferno Pvt Ltd

Impact Endpoints publics d'inscription, d'enregistrement et de contact sur interaip.ai

← Retour à tous les avis

Résumé

Une vulnérabilité d'injection d'hyperliens permettait que le contenu des champs « name », « company » et « phone » des formulaires publics soit reflété dans les e-mails système sortants. Combinée au sous-adressage (user+tag@gmail.com), un attaquant pouvait utiliser l'infrastructure d'envoi de confiance d'InterAIP.ai pour livrer des liens de phishing à des tiers.

Aucune prise de contrôle de compte ni énumération d'utilisateurs n'était possible. Un risque secondaire d'injection d'en-têtes CRLF dans SmtpMailer a également été identifié et corrigé lors de la remédiation.

Référence interne: INT-206

Remerciements

Remerciements à Ather Iqbal

Nos remerciements à Ather Iqbal (OSCP, OSWE) d'Alpha Inferno Pvt Ltd pour la divulgation responsable de ce problème. Bien que ce rapport soit arrivé en dehors d'un programme de divulgation formel, le niveau de détail technique et le PoC vidéo étaient de grande qualité et nous ont aidés à corriger rapidement.

← Retour à tous les avis

Divulgation responsable

Vous avez trouvé un problème de sécurité sur interaip.ai ou dans notre widget ? Nous serions ravis d'en être informés. Envoyez un e-mail à security@interaip.ai avec une description, les étapes de reproduction et un éventuel PoC. Nous confirmons sous un jour ouvré et vous tenons informés jusqu'à la correction.