PT-2026-53999 · Unknown · Invoice Ninja
George Chen
·
Publicado
2026-06-30
·
Atualizado
2026-06-30
·
CVE-2026-58450
CVSS v3.1
4.3
Média
| Vetor | AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:N |
Nome do Software Vulnerável e Versões Afetadas
Invoice Ninja versões anteriores a 5.13.27
Descrição
Existe um redirecionamento aberto no login do portal do cliente. Atacantes não autenticados podem redirecionar usuários autenticados para URLs externas injetando um valor malicioso no parâmetro de consulta
intended. Este valor é armazenado na sessão sem validação de host e é processado pelo manipulador ContactLoginController authenticated(), que realiza um redirecionamento direto após um login legítimo, facilitando ataques de phishing.Recomendações
Atualize para a versão 5.13.27 ou posterior.
Exploit
Correção
Open Redirect
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Invoice Ninja