PT-2026-51607 · Powerdns+1 · Powerdns+1
Mike197312
·
Publicado
2026-06-23
·
Atualizado
2026-06-24
·
CVE-2026-54588
CVSS v3.1
9.6
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:L |
Nome do Software Vulnerável e Versões Afetadas
Poweradmin versões anteriores a 4.2.4
Poweradmin versões anteriores a 4.3.3
Descrição
Poweradmin é uma ferramenta de administração de DNS baseada na web para o servidor PowerDNS. O software utiliza o cabeçalho de requisição
HTTP HOST, controlado pelo atacante, como a fonte autoritativa para a construção de URLs de callback em seus fluxos de autenticação OIDC, SAML e de logout sem qualquer validação. Um atacante não autenticado pode envenenar a redirect uri enviada ao Provedor de Identidade (IdP), fazendo com que o IdP redirecione o código de autorização da vítima para um servidor controlado pelo atacante, resultando no controle total da conta sem a necessidade de credenciais.Recomendações
Atualizar para a versão 4.2.4
Atualizar para a versão 4.3.3
Correção
RCE
Open Redirect
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Powerdns
Poweradmin