01 - STAKEHOLDER (quem valida e esclarece):
02 - PROBLEMA (cenário e/ou dor):

Durante os testes, identificamos que o campo de edição de conta não possui validação adequada dos parâmetros de entrada. Ao alterar o nome de usuário para um payload em HTML, verificamos que o código foi refletido na funcionalidade de envio de convites. Quando o convite era enviado, o e-mail recebido pelo destinatário renderizava o conteúdo injetado, confirmando a vulnerabilidade de HTML Injection persistente.

Para reproduzir a vulnerabilidade, acessamos a área de edição de usuário, inserimos um payload em HTML no campo “nome” e salvamos as alterações. Em seguida, utilizamos a funcionalidade de envio de convites para enviar um convite a um endereço de e-mail, com o objetivo de que o destinatário participasse da plataforma.

Recomendações
Recomendamos implementar validação e sanitização adequada dos campos de entrada, bloqueando a injeção de tags HTML ou scripts no cadastro de usuários. Além disso, é importante aplicar técnicas de codificação de saída (output encoding) antes de renderizar conteúdo controlado por usuários em e-mails ou páginas da aplicação.

Evidências da simulação

E-mail recebido pelo convidado, não é afetado pela injeção HTML

Entretanto, o e-mail recebido pelos tenant admins, é impactado pela injeção de HTML

03 - OBJETIVO (solução proposta):
04 - QUEM PODE USAR (perfis de usuários):
05 - ASSETS (links e arquivos relevantes):
06 - CRITÉRIOS DE ACEITE:

• Implementar validação e sanitização adequada dos campos de entrada bloqueando a injeção de tags HTML ou scripts no cadastro de usuários.