CVE-2026-40905 in LinkAceinformation

Résumé

par VulDB • 25/05/2026

LinkAce est une solution d'archive auto-hébergée permettant de collecter des liens vers des sites web. Avant la version 2.5.4, une vulnérabilité d'empoisonnement de la réinitialisation de mot de passe a été identifiée dans l'application en raison d'une confiance incorrecte accordée aux en-têtes HTTP contrôlés par l'utilisateur. L'application utilise l'en-tête X-Forwarded-Host lors de la génération des URL de réinitialisation de mot de passe. En manipulant cet en-tête lors d'une demande de réinitialisation de mot de passe, un attaquant peut injecter un domaine contrôlé par l'attaquant dans le lien de réinitialisation envoyé par e-mail. Par conséquent, la victime reçoit un e-mail de réinitialisation de mot de passe contenant un lien malveillant pointant vers un domaine contrôlé par l'attaquant. Lorsque la victime clique sur le lien, le jeton de réinitialisation de mot de passe est transmis au serveur contrôlé par l'attaquant. Un attaquant peut capturer ce jeton et l'utiliser pour réinitialiser le mot de passe de la victime, entraînant une prise de contrôle totale du compte. Cette vulnérabilité est corrigée dans la version 2.5.4.

Once again VulDB remains the best source for vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Responsable

GitHub M

Réserver

15/04/2026

Divulgation

22/04/2026

Modérer

accepté

Entrée

VDB-358580

CPE

prêt

EPSS

0.00035

KEV

non

Activités

très faible

Sources

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-40905
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-40905
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-40905/

PrécédentAperçuSuivant

Want to stay up to date on a daily basis?

Enable the mail alert feature now!