Katalog CVE

CVE-2025-43931

Krytyczne
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

Podatność w flask-boilerplate umożliwia przejęcie konta poprzez funkcję resetowania hasła, ponieważ SERVER_NAME nie jest skonfigurowany. W związku z tym resetowanie hasła zależy od nagłówka Host w żądaniu HTTP.

Ocena ryzyka

Organizacja może być narażona na przejęcie kont użytkowników, co prowadzi do nieautoryzowanego dostępu do danych i zasobów.

Rekomendacja

Zaleca się skonfigurowanie parametru SERVER_NAME, aby zabezpieczyć funkcję resetowania hasła przed wykorzystaniem nagłówka Host.

Oryginalny opis (angielski, źródło NVD)

flask-boilerplate through a170e7c allows account takeover via the password reset feature because SERVER_NAME is not configured and thus a reset depends on the Host HTTP header.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS