PT-2026-55209 · Concourse · Concourse

Publicado

2026-07-01

·

Atualizado

2026-07-07

·

CVE-2026-49826

CVSS v4.0

0.0

Nenhuma

VetorAV:N/AC:L/AT:N/PR:N/UI:A/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N
Nome do Software Vulnerável e Versões Afetadas Concourse versões anteriores a 8.2.3
Description Um problema de redirecionamento aberto existe no fluxo de login. Um invasor pode criar uma URL que redireciona os usuários do servidor web do Concourse para um site externo, o que poderia ser utilizado em ataques de phishing para roubar credenciais. O problema ocorre devido à forma como o pacote url do Go processa o parâmetro redirect uri no endpoint /sky/login. Especificamente, se a URL contiver caracteres que exijam escape, como barras invertidas, uma etapa de decodificação extra é executada, permitindo que um caminho como /%252Fexample.com/ seja interpretado como //example.com.
Recommendations Atualize para a versão 8.2.3.

Correção

Open Redirect

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

Enumeração de Fraquezas

Identificadores relacionados

CVE-2026-49826
GHSA-8W27-C4VC-88Q9
GO-2026-5866

Produtos afetados

Concourse