CVE-2025-61543

Nome do Software Vulnerável e Versões Afetadas CraftMyCMS versão 4.0.2.2

Descrição Existe uma vulnerabilidade de Injeção de Cabeçalho Host (Host Header Injection) na funcionalidade de redefinição de senha. O sistema utiliza diretamente $ SERVER['HTTP HOST'] para criar links de redefinição de senha enviados por e-mail. Um atacante pode manipular o cabeçalho Host para enviar links de redefinição maliciosos, potencialmente levando a ataques de phishing ou tomada de conta. O parâmetro vulnerável é $ SERVER['HTTP HOST'].

Recomendações Aplique uma correção que sanitize ou codifique adequadamente a variável $ SERVER['HTTP HOST'] antes de usá-la para construir links de redefinição de senha.