CVE-2026-29199

Nome do Software Vulnerável e Versões Afetadas phpBB versões anteriores a 3.3.16

Descrição Ocorre uma Injeção de Cabeçalho Host (Host Header Injection) quando a opção force server vars está desativada, permitindo que o nome do host do servidor seja extraído do cabeçalho HTTP Host para gerar URLs de links de redefinição de senha. Um invasor capaz de manipular o cabeçalho Host, possivelmente através da falta de validação de cabeçalho pelo servidor web ou configuração de host incorreta, pode fazer com que os e-mails de redefinição de senha contenham links apontando para um domínio controlado pelo invasor, o que pode levar à invasão de contas.

Recomendações Atualize para a versão 3.3.16 ou posterior. Ative a configuração force server vars para evitar o uso do cabeçalho HTTP Host na geração de URLs.