发布日期：2024-01-03
更新日期：2024-03-14

受影响系统：

CouchAuth CouchAuth <= 0.20.0

描述：

---

CVE(CAN) ID: CVE-2023-39655

CouchAuth是一个身份验证API。
CouchAuth 0.20.0版本及之前版本存在HOST头注入漏洞，攻击者利用该漏洞可在忘记密码请求中发送特制的主机标头，导致发送给用户的密码重置链接跳转到攻击者控制的服务器，从而泄露密码重置令牌，攻击者据此可重置用户密码并接管账户。

<**>

建议：

---

厂商补丁：

CouchAuth
---------
厂商尚未提供漏洞修复方案，请关注厂商主页更新：
https://github.com/dub-flow/vulnerability-research/tree/main/CVE-2023-39655。

浏览次数：267
严重程度：0（网友投票）