CVE-2025-70948
KrytyczneStreszczenie
W podatności CVE-2025-70948 występuje luka wstrzykiwania nagłówka hosta w komponencie mailera @perfood/couch-auth w wersji 0.26.0. Umożliwia to atakującym uzyskanie tokenów resetowania i przejęcie konta poprzez fałszowanie nagłówka HTTP Host.
Ocena ryzyka
Organizacje mogą być narażone na przejęcie kont użytkowników, co prowadzi do utraty danych i naruszenia prywatności. Atakujący mogą wykorzystać tę lukę do nieautoryzowanego dostępu do kont.
Rekomendacja
Zaleca się aktualizację komponentu @perfood/couch-auth do najnowszej wersji, aby usunąć tę lukę. Dodatkowo, warto wdrożyć mechanizmy walidacji nagłówków HTTP w aplikacjach.
Oryginalny opis (angielski, źródło NVD)
A host header injection vulnerability in the mailer component of @perfood/couch-auth v0.26.0 allows attackers to obtain reset tokens and execute an account takeover via spoofing the HTTP Host header.

