CVE-2024-42914

A host header injection vulnerability exists in the forgot password functionality of ArrowCMS version 1.0.0. By sending a specially crafted host header in the forgot password request, it is possible to send password reset links to users which, once clicked, lead to an attacker-controlled server and thus leak the password reset token. This may allow an attacker to reset other users' passwords.
Configurations

No configuration.

History

26 Aug 2024, 17:35

Type Values Removed Values Added
CVSS v2 : unknown
v3 : unknown
v2 : unknown
v3 : 9.1
CWE CWE-74

26 Aug 2024, 12:47

Type Values Removed Values Added
Summary
  • (es) Existe una vulnerabilidad de inyección de encabezado de host en la funcionalidad de contraseña olvidada de ArrowCMS versión 1.0.0. Al enviar un encabezado de host especialmente manipulado en la solicitud de contraseña olvidada, es posible enviar enlaces de restablecimiento de contraseña a los usuarios que, una vez que se hace clic, conducen a un servidor controlado por el atacante y, por lo tanto, filtran el token de restablecimiento de contraseña. Esto puede permitir que un atacante restablezca las contraseñas de otros usuarios.

23 Aug 2024, 19:15

Type Values Removed Values Added
New CVE

Information

Published : 2024-08-23 19:15

Updated : 2024-08-26 17:35


NVD link : CVE-2024-42914

Mitre link : CVE-2024-42914

CVE.ORG link : CVE-2024-42914


JSON object : View

Products Affected

No product.

CWE
CWE-74

Improper Neutralization of Special Elements in Output Used by a Downstream Component ('Injection')