BETA · privacy LLM's & voice servers operationeel · GPU-upgrade onderweg voor snellere responses · pakketten kunnen nog wijzigen Status & Roadmap →

Beveiligingsadviezen › IAIP-2026-001

Hyperlink injection in public forms

User input was reflected in outgoing system e-mails. Fixed on the same day.

Advisory ID IAIP-2026-001
Gepubliceerd 2026-04-20
Severity Medium · CVSS 5.3
Status Resolved (deployed)
Reporter Ather Iqbal (OSCP, OSWE) — Alpha Inferno Pvt Ltd
Getroffen Public signup, register and contact endpoints on interaip.ai
← Terug naar alle advisories

Samenvatting

A hyperlink-injection vulnerability allowed content from the "name", "company" and "phone" fields on public forms to be reflected in outgoing system e-mails. Combined with sub-address aliasing (user+tag@gmail.com), an attacker could use InterAIP.ai's trusted sending infrastructure to deliver phishing links to third parties.

No account takeover or user enumeration was possible. A secondary CRLF header-injection risk in SmtpMailer was also identified and fixed during remediation.

Interne referentie: INT-206

Credits

Met dank aan Ather Iqbal

Our thanks to Ather Iqbal (OSCP, OSWE) of Alpha Inferno Pvt Ltd for the responsible disclosure of this issue. Although this report arrived outside a formal disclosure programme, the technical detail and video PoC were high-quality and helped us remediate quickly.

← Terug naar alle advisories

Verantwoordelijke bekendmaking

Heeft u een beveiligingsprobleem op zelixai.ai of in onze widget gevonden? Wij horen het graag. Stuur een e-mail naar security@zelixai.ai met een beschrijving, reproductiestappen en eventuele PoC. Wij bevestigen binnen één werkdag en houden u op de hoogte tot en met de remediation.