CVE-2026-41513
Horilla: Open Redirect via Unvalidated `next` Parameter in Notification Endpoints
Vexday Risk Score
13Bajo
Decisión SSVC (CISA)
Track
Sin señal de explotación → monitorear
CVSS 4.8EPSS 0.3%KEV nãoPoC —Nuclei —Metasploit —Patch —
Ciclo de vida
12 may 2026Publicada en NVD
Recomendación: Monitorear — sin señal de explotación por ahora.
Horilla is an HR and CRM software. In 1.5.0, the notification endpoints trust the unvalidated next parameter and redirect users to arbitrary external URLs. This allows an attacker to turn trusted application links into phishing or social-engineering redirects.
CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:A/VC:N/VI:N/VA:N/SC:L/SI:L/SA:N
Productos afectados
horilla · horilla-hr¿Quieres saber si tu infraestructura está expuesta a esto?
Hablar con TrueHacking →