Oussama-Rahali

**Nome do software vulnerável e versões afetadas** Versões do `pimcore/admin-ui-classic-bundle` anteriores à 1.3.4 **Descrição** Foi descoberta uma possível falha de segurança no `pimcore/admin-ui-classic-bundle`. A falha envolve uma injeção de cabeçalho de host na função `invitationLinkAction` do UserController, especificamente na forma como `$loginUrl` confia na entrada do usuário. O cabeçalho de host das solicitações HTTP recebidas é usado de forma insegura ao gerar URLs. Um invasor pode manipular o cabeçalho de host HTTP nas solicitações ao endpoint “/admin/user/invitationlink”, resultando na geração de URLs com o domínio do invasor. Se um cabeçalho de host for injetado na solicitação POST, o parâmetro `$loginURL` é construído com esse cabeçalho de host não validado. Ele é então usado para enviar um e-mail de convite ao usuário fornecido. Essa vulnerabilidade pode ser usada para realizar ataques de phishing, fazendo com que as URLs nos e-mails de convite apontem para um domínio controlado pelo invasor. **Recomendações** Para versões anteriores à 1.3.4, atualize para a versão 1.3.4 ou posterior para resolver o problema. Como solução alternativa temporária, considere validar o cabeçalho de host e garantir que ele corresponda ao domínio do aplicativo. Também seria benéfico usar um host ou nome de host confiável padrão caso o cabeçalho de host recebido não seja reconhecido ou esteja ausente. Restrinja o acesso ao endpoint `/admin/user/invitationlink` para minimizar o risco de exploração. Evite usar a função `invitationLinkAction` até que o problema seja resolvido.