CVE-2025-70948

Параметр	Значение
CVSS	9,3 (CRITICAL)
Тип уязвимости	CWE-644
Публичный эксплойт	Нет

Уязвимость внедрения заголовка хоста в почтовом компоненте @perfood/couch-auth v0.26.0 позволяет злоумышленникам получить токены сброса и выполнить захват учетной записи путем подмены заголовка HTTP Host.

Показать оригинальное описание (EN)

A host header injection vulnerability in the mailer component of @perfood/couch-auth v0.26.0 allows attackers to obtain reset tokens and execute an account takeover via spoofing the HTTP Host header.

Характеристики атаки

Способ атаки

По сети

Атака возможна удалённо

Сложность

Низкая

Легко эксплуатировать

Нужны права

Не требуются

Права не нужны

Участие пользователя

Требуется

Нужно действие пользователя

Последствия

Конфиденциальность

Высокое

Полная утечка данных

Целостность

Высокое

Полная модификация данных

Доступность

Нет

Нет нарушения работы

Строка CVSS v3.1

Тип уязвимости (CWE)

CWE-644

Ссылки 3

https://gist.github.com/0xHunterr/38aab644874ca9f4646524c5b01cfe5e

cve@mitre.org

https://github.com/perfood/couch-auth

cve@mitre.org

https://www.npmjs.com/package/@perfood/couch-auth

cve@mitre.org

Меню

Характеристики атаки

Последствия

Строка CVSS v3.1

Тип уязвимости (CWE)

Ссылки 3

Сводка

Выбор редакции

Меню

CVE-2025-70948

Характеристики атаки

Последствия

Строка CVSS v3.1

Тип уязвимости (CWE)

Ссылки 3

Сводка

Выбор редакции

Будьте в курсе кибербезопасности