PT-2025-43525 · Unknown+1 · Axewater Sharewarez+1
Publicado
2025-10-23
·
Atualizado
2025-10-28
·
CVE-2025-61136
CVSS v3.1
7.1
Alta
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:H |
Nome do Software Vulnerável e Versões Afetadas
axewater sharewarez versão 2.4.3
Descrição
Existe uma falha de Injeção de Cabeçalho Host na funcionalidade de redefinição de senha do software. Isso permite que atacantes remotos potencialmente assumam o controle de contas ao manipular o cabeçalho Host durante a geração do link de redefinição de senha, especificamente quando
url for( external=True) do Flask é utilizado sem um SERVER NAME definido. A vulnerabilidade permite o envenenamento de redefinição de senha. O componente afetado é o componente de redefinição de senha.Recomendações
Garanta que um
SERVER NAME fixo esteja configurado ao utilizar a função url for( external=True) do Flask para gerar links de redefinição de senha.Correção
Code Injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Flask
Axewater Sharewarez