BETA · gizlilik LLM'leri ve ses sunucuları çalışıyor · daha hızlı yanıtlar için GPU yükseltmesi yolda · paketler hâlâ değişebilir Durum & Yol Haritası →
Giriş yap Ücretsiz dene

Güvenlik Bildirileri › IAIP-2026-001

Genel formlarda hyperlink enjeksiyonu

Kullanıcı girişi, giden sistem e-postalarına yansıtılıyordu. Aynı gün düzeltildi.

Bildiri ID IAIP-2026-001
Yayımlandı 2026-04-20
Önem düzeyi Medium · CVSS 5.3
Durum Çözüldü (yayında)
Bildiren Ather Iqbal (OSCP, OSWE) — Alpha Inferno Pvt Ltd
Etkilenen interaip.ai üzerindeki genel signup, register ve contact uç noktaları
← Tüm bildirilere dön

Özet

Bir hyperlink enjeksiyon güvenlik açığı, genel formlardaki "name", "company" ve "phone" alanlarından gelen içeriğin giden sistem e-postalarına yansıtılmasına olanak tanıyordu. Alt adres takma adıyla (user+tag@gmail.com) birleştirildiğinde, bir saldırgan InterAIP.ai'nin güvenilir gönderim altyapısını kullanarak üçüncü taraflara kimlik avı bağlantıları iletebilir.

Hesap ele geçirme veya kullanıcı sayımı mümkün değildi. Düzeltme sırasında SmtpMailer'daki ikincil bir CRLF başlık enjeksiyon riski de tespit edildi ve giderildi.

Dahili referans: INT-206

Teşekkürler

Teşekkürler Ather Iqbal

Bu sorunun sorumlu bir şekilde bildirilmesi için Alpha Inferno Pvt Ltd'den Ather Iqbal'a (OSCP, OSWE) teşekkür ederiz. Bu bildirim resmi bir bildirim programı dışından gelmiş olsa da, teknik ayrıntılar ve eklenen video PoC yüksek kalitedeydi ve hızlı bir şekilde düzeltme yapmamıza yardımcı oldu.

← Tüm bildirilere dön

Sorumlu bildirim

interaip.ai'de veya widget'ımızda bir güvenlik sorunu mu buldunuz? Duymak isteriz. Şu adrese bir e-posta gönderin: security@interaip.ai açıklama, tekrar üretme adımları ve varsa PoC ile birlikte. Bir iş günü içinde onaylar ve düzeltme sürecinde sizi bilgilendiririz.

BETA · platform aktif geliştirme aşamasında, paketler ve fiyatlar değişebilir Durum & yol haritasına bak →