BETA · privacy LLM's & voice servers operationeel · GPU-upgrade onderweg voor snellere responses · pakketten kunnen nog wijzigen Status & Roadmap →
Inloggen Gratis proberen

Security Advisories › IAIP-2026-001

Hyperlink injection in public forms

Gebruikersinput werd gereflecteerd in uitgaande systeem-e-mails. Gefixt dezelfde dag.

Advisory ID IAIP-2026-001
Gepubliceerd 2026-04-20
Severity Medium · CVSS 5.3
Status Resolved (deployed)
Reporter Ather Iqbal (OSCP, OSWE) — Alpha Inferno Pvt Ltd
Affected Publieke signup-, register- en contact-endpoints op interaip.ai
← Terug naar alle advisories

Samenvatting

Een hyperlink-injection-kwetsbaarheid zorgde ervoor dat inhoud uit de velden "name", "company" en "phone" op publieke formulieren werd gereflecteerd in uitgaande systeem-e-mails. In combinatie met sub-address aliasing (user+tag@gmail.com) kon een aanvaller InterAIP.ai's vertrouwde verzend-infrastructuur gebruiken om phishing-links aan derden te bezorgen.

Geen account-takeover of gebruikersenumeratie mogelijk. Een secundair CRLF header-injection risico in SmtpMailer is tijdens remediation ook geïdentificeerd en gefixt.

Interne referentie: INT-206

Credits

Met dank aan Ather Iqbal

Met dank aan Ather Iqbal (OSCP, OSWE) van Alpha Inferno Pvt Ltd voor de responsible disclosure van dit issue. Hoewel deze melding buiten een formeel disclosure-programma om binnenkwam, waren de technische detaillering en de meegeleverde video-PoC van hoge kwaliteit en hielpen ons snel te remediëren.

← Terug naar alle advisories

Responsible disclosure

Heeft u een beveiligingsprobleem op interaip.ai of in onze widget gevonden? Stuur een e-mail naar security@interaip.ai met een beschrijving, reproductiestappen en eventuele PoC. Wij bevestigen binnen één werkdag.

BETA · platform in actieve ontwikkeling, pakketten en prijzen kunnen wijzigen Bekijk status & roadmap →