<html xmlns="http://www.w3.org/1999/xhtml">
<head>
<title></title>
</head>
<body>
<div name="messageBodySection">
<div dir="auto">Heads up - the security fix mentioned in the release notes will break preauth depending on your configuration and there’s no documentation for this.<br />
<br />
Release notes mention:<br />
"Strengthened PreAuth servlet to only redirect to admin configured url, which will prevent security issues related to open redirection vulnerabilities."<br />
<br />
The code contains this comment:<br />
// ZBUG-3105: we are allowing redirectURL only from zimbraPublicServiceHostname and<br />
// also url from zimbra_allowed_redirect_url<br />
<br />
The solution is to ensure that whatever redirectURL you pass in during the preauth process needs to match the value of `zimbra_allowed_redirect_url`<br />
<br />
```<br />
zmlocalconfig -e zimbra_allowed_redirect_url="/"<br />
zmcontrol restart<br />
```<br />
<br />
Hope this helps someone.<br />
<br />
Regards,<br />
<br />
Marc</div>
</div>
</body>
</html>