Retour à la liste

Apostrophe has a Weak Password Recovery Mechanism for Forgotten Password and Improper Input Validation — CVE-2026-45013

GitHub · GitHub · CVE-2026-45013

ID
CVE-2026-45013
Date
Mis à jour
Activity
Source
GitHub
Fournisseur
GitHub
Risque
high
CVSS
8.1

Résumé

## Summary ApostropheCMS's password reset flow constructs the reset URL using `req.hostname`, which is derived directly from the attacker-controlled HTTP `Host` header when `apos.baseUrl` is not explicitly configured. An unauthenticated attacker who knows a victim's email address can send a crafted reset request that causes the application to email the victim a reset link pointing to the attacker's domain. When the…

Produit

npm: apostrophe

Que faire

Mesures générales et prudentes (vérifiez les détails dans la source officielle) :

  • Priorisez immédiatement les correctifs ou les mesures d’atténuation (risque actif).
  • Identifiez les versions affectées dans votre inventaire et vérifiez si vous êtes concerné.
  • Appliquez les correctifs/mises à jour du fournisseur ou les atténuations recommandées.
  • Consultez l’avis officiel pour les versions affectées et les étapes de remédiation.

Avis officiel

Avis associés

GitHub GitHub 2026-W21