PT-2026-54444 · Probod · Probod

Publicado

2026-06-30

·

Atualizado

2026-07-07

·

CVE-2026-49820

CVSS v3.1

4.7

Média

VetorAV:N/AC:L/PR:N/UI:R/S:C/C:N/I:L/A:N
Nome do Software Vulnerável e Versões Afetadas probod versões anteriores a 0.194.1
Descrição O pacote saferedirect em go.probo.inc/probo não valida adequadamente as URLs de redirecionamento usadas em fluxos de autenticação, como OIDC, SAML, transferência de sessão, conectores OAuth e links mágicos do centro de confiança. O validador verifica apenas o segundo caractere de caminhos relativos, permitindo que URLs como /../evil.com sejam aceitas. Como o http.Redirect do Go normaliza esse caminho para /evil.com, os navegadores podem interpretar a barra invertida como um separador de host e redirecionar o usuário para um domínio externo. Isso permite que invasores usem o parâmetro continue ou tokens de transferência de sessão para realizar phishing de redirecionamento aberto, criando URLs que parecem originar-se de um domínio confiável.
Recomendações Atualize para a versão 0.194.1 ou posterior do probod.

Correção

Open Redirect

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

Enumeração de Fraquezas

Identificadores relacionados

CVE-2026-49820
GHSA-X7QQ-M748-8P2C
GO-2026-5861

Produtos afetados

Probod