CRITICAL🇬🇧 English

CVE-2025-43930

Hashview 0.8.1 — przejęcie konta przez manipulację nagłówkiem Host w reset hasła

CVSS 9.8v3.1pub. 2025-07-07upd. 2026-04-15

Aplikacja Hashview w wersji 0.8.1 umożliwia przejęcie dowolnego konta użytkownika poprzez manipulację nagłówkiem HTTP Host podczas procesu resetowania hasła. Podatność wynika z braku skonfigurowanej zmiennej SERVER_NAME, przez co link resetujący hasło jest budowany na podstawie niezaufanego nagłówka dostarczanego przez atakującego.

Pokaż oryginał (EN)

Hashview 0.8.1 allows account takeover via the password reset feature because SERVER_NAME is not configured and thus a reset depends on the Host HTTP header.

🤖 Analiza AI
Jak działa

Gdy użytkownik inicjuje reset hasła, aplikacja generuje link z tokenem resetującym i wysyła go e-mailem. Ponieważ zmienna SERVER_NAME nie jest ustawiona, adres URL w tym linku jest konstruowany na podstawie nagłówka HTTP Host z przychodzącego żądania. Atakujący może wysłać żądanie resetowania hasła dla docelowego konta z podrobionym nagłówkiem Host wskazującym na serwer pod jego kontrolą. W efekcie ofiara otrzymuje e-mail z linkiem prowadzącym do serwera atakującego, który przechwytuje token resetujący i przejmuje konto.

Skutki

Atakujący nieposiadający żadnego uwierzytelnienia może przejąć kontrolę nad dowolnym kontem użytkownika w aplikacji, uzyskując pełen dostęp do jego danych i funkcjonalności (naruszenie poufności, integralności i dostępności).

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami. Jako obejście należy skonfigurować zmienną SERVER_NAME w aplikacji Hashview, aby link resetujący hasło był budowany na podstawie zaufanej, zdefiniowanej przez administratora nazwy serwera, a nie nagłówka HTTP Host.

Kogo dotyczy

Hashview w wersji 0.8.1

Uwagi

Podatność sklasyfikowana jako CWE-472 (External Control of Assumed-Immutable Web Parameter). Szczegóły techniczne dostępne w kodzie źródłowym aplikacji w pliku hashview/users/routes.py (linie 198–218) oraz w zgłoszeniu nr 145 w repozytorium GitHub projektu Hashview.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje