Katalog CVE

CVE-2025-70948

Krytyczne
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

W podatności CVE-2025-70948 występuje luka wstrzykiwania nagłówka hosta w komponencie mailera @perfood/couch-auth w wersji 0.26.0. Umożliwia to atakującym uzyskanie tokenów resetowania i przejęcie konta poprzez fałszowanie nagłówka HTTP Host.

Ocena ryzyka

Organizacje mogą być narażone na przejęcie kont użytkowników, co prowadzi do utraty danych i naruszenia prywatności. Atakujący mogą wykorzystać tę lukę do nieautoryzowanego dostępu do kont.

Rekomendacja

Zaleca się aktualizację komponentu @perfood/couch-auth do najnowszej wersji, aby usunąć tę lukę. Dodatkowo, warto wdrożyć mechanizmy walidacji nagłówków HTTP w aplikacjach.

Oryginalny opis (angielski, źródło NVD)

A host header injection vulnerability in the mailer component of @perfood/couch-auth v0.26.0 allows attackers to obtain reset tokens and execute an account takeover via spoofing the HTTP Host header.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS