CVE-2026-40255

Name of the Vulnerable Software and Affected Versions @adonisjs/http-server versões anteriores a 7.8.1 @adonisjs/http-server versões 8.0.0-next.0 até 8.1.3 @adonisjs/core versões anteriores a 7.4.0

Description O método response.redirect().back() lê o cabeçalho Referer da requisição HTTP recebida e redireciona para essa URL sem validar o host. Um invasor que consiga influenciar o cabeçalho Referer pode fazer com que a aplicação redirecione os usuários para um site externo malicioso. Isso afeta todas as aplicações que utilizam response.redirect().back() ou response.redirect('back').

Recommendations Atualize o @adonisjs/http-server para a versão 7.8.1 ou posterior. Atualize o @adonisjs/http-server para a versão 8.2.0 ou posterior. Atualize o @adonisjs/core para a versão 7.4.0 ou posterior. Como alternativa temporária, evite usar o método response.redirect().back() em rotas acessíveis por usuários não autenticados ou tráfego externo e, em vez disso, use response.redirect().toPath() para redirecionar para um caminho seguro conhecido. Configure hosts confiáveis adicionais através da opção redirect.allowedHosts em config/app.ts para aplicações que operam em múltiplos domínios.