PT-2026-55209 · Concourse · Concourse
Publicado
2026-07-01
·
Atualizado
2026-07-07
·
CVE-2026-49826
CVSS v4.0
0.0
Nenhuma
| Vetor | AV:N/AC:L/AT:N/PR:N/UI:A/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N |
Nome do Software Vulnerável e Versões Afetadas
Concourse versões anteriores a 8.2.3
Description
Um problema de redirecionamento aberto existe no fluxo de login. Um invasor pode criar uma URL que redireciona os usuários do servidor web do Concourse para um site externo, o que poderia ser utilizado em ataques de phishing para roubar credenciais. O problema ocorre devido à forma como o pacote
url do Go processa o parâmetro redirect uri no endpoint /sky/login. Especificamente, se a URL contiver caracteres que exijam escape, como barras invertidas, uma etapa de decodificação extra é executada, permitindo que um caminho como /%252Fexample.com/ seja interpretado como //example.com.Recommendations
Atualize para a versão 8.2.3.
Correção
Open Redirect
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Concourse