CVE-2026-42606

Nome do Software Vulnerável e Versões Afetadas AzuraCast versões anteriores a 0.23.6

Descrição O middleware ApplyXForwarded confia incondicionalmente no cabeçalho HTTP X-Forwarded-Host fornecido pelo cliente, sem uma lista de permissões de proxies confiáveis. Um invasor não autenticado pode explorar isso injetando o cabeçalho X-Forwarded-Host ao acionar o fluxo de esqueci a senha, envenenando a URL de redefinição de senha enviada ao usuário. Se a vítima clicar no link, seu token de redefinição é exfiltrado para o servidor do invasor. O invasor pode então usar esse token na instância legítima para redefinir a senha da vítima e destruir a configuração de autenticação de dois fatores (2FA), resultando no controle total da conta.

Recomendações Atualize para a versão 0.23.6. Como medida paliativa temporária, restrinja o acesso ao middleware ApplyXForwarded ou garanta que o cabeçalho X-Forwarded-Host seja removido ou validado por um proxy reverso confiável antes de chegar à aplicação.