CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2025-70948

Critical
Published: Translated: NVD NIST

Summary

W podatności CVE-2025-70948 występuje luka wstrzykiwania nagłówka hosta w komponencie mailera @perfood/couch-auth w wersji 0.26.0. Umożliwia to atakującym uzyskanie tokenów resetowania i przejęcie konta poprzez fałszowanie nagłówka HTTP Host.

Risk Assessment

Organizacje mogą być narażone na przejęcie kont użytkowników, co prowadzi do utraty danych i naruszenia prywatności. Atakujący mogą wykorzystać tę lukę do nieautoryzowanego dostępu do kont.

Recommendation

Zaleca się aktualizację komponentu @perfood/couch-auth do najnowszej wersji, aby usunąć tę lukę. Dodatkowo, warto wdrożyć mechanizmy walidacji nagłówków HTTP w aplikacjach.

Original NVD description (English source)

A host header injection vulnerability in the mailer component of @perfood/couch-auth v0.26.0 allows attackers to obtain reset tokens and execute an account takeover via spoofing the HTTP Host header.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS