CVE-2026-40905 in LinkAce
요약
\~에 의해 VulDB • 2026. 05. 25.
LinkAce는 웹사이트 링크를 수집하기 위한 자체 호스팅 아카이브입니다. 2.5.4 버전 이전의 애플리케이션에서는 사용자 제어 HTTP 헤더에 대한 신뢰가 부적절하게 처리되어 비밀번호 재설정 중독(poisoning) 취약점이 확인되었습니다. 애플리케이션은 비밀번호 재설정 URL을 생성할 때 X-Forwarded-Host 헤더를 사용합니다. 공격자가 비밀번호 재설정 요청 중 이 헤더를 조작하면, 이메일로 전송되는 재설정 링크에 공격자가 제어하는 도메인을 삽입할 수 있습니다. 그 결과, 피해자는 공격자가 제어하는 도메인을 가리키는 악성 링크가 포함된 비밀번호 재설정 이메일을 받게 됩니다. 피해자가 링크를 클릭하면 비밀번호 재설정 토큰이 공격자가 제어하는 서버로 전송됩니다. 공격자는 이 토큰을 캡처하여 피해자의 비밀번호를 재설정할 수 있으며, 이는 전체 계정 탈취로 이어집니다. 이 취약점은 2.5.4 버전에서 수정되었습니다.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.