CVE-2025-52560

Nome do Software Vulnerável e Versões Afetadas: Versões do Kanboard anteriores à 1.2.46

Descrição: O Kanboard é um software de gerenciamento de projetos que foca na metodologia Kanban. Em versões anteriores à 1.2.46, o Kanboard permite o envio de e-mails de redefinição de senha com URLs derivadas do cabeçalho Host não validado quando a configuração application url não está definida. Isso permite que um atacante crie um link de redefinição de senha malicioso que vaza o token para um domínio controlado pelo atacante. Se uma vítima clicar no link envenenado, sua conta poderá ser tomada. Isso afeta todos os usuários que iniciam uma redefinição de senha quando o application url não está definido.

Recomendações: Para versões anteriores à 1.2.46, atualize para a versão 1.2.46 para resolver o problema. Como medida paliativa temporária, considere definir a configuração application url para impedir o uso de cabeçalhos Host não validados. Restrinja o acesso à funcionalidade de redefinição de senha até que o problema seja resolvido.