一、 漏洞 CVE-2025-43930 基础信息
漏洞信息
# N/A
## 漏洞概述
Hashview 0.8.1 中存在账户接管漏洞,原因在于密码重置功能依赖于未配置的 `SERVER_NAME`,因此重置过程依赖于 Host HTTP 头。
## 影响版本
- Hashview 0.8.1
## 漏洞细节
由于 `SERVER_NAME` 未配置,密码重置过程会依赖于 HTTP 请求中的 Host 头。攻击者可以利用这一点伪造 Host 头,导致账户接管。
## 影响
攻击者可以通过伪造 Host HTTP 头来利用该漏洞,实现账户接管。
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
N/A
来源:美国国家漏洞数据库 NVD
漏洞描述信息
Hashview 0.8.1 allows account takeover via the password reset feature because SERVER_NAME is not configured and thus a reset depends on the Host HTTP header.
来源:美国国家漏洞数据库 NVD
CVSS信息
N/A
来源:美国国家漏洞数据库 NVD
漏洞类别
N/A
来源:美国国家漏洞数据库 NVD
漏洞标题
Hashview 安全漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
Hashview是Hashview开源的一个用于密码破解和分析的软件。 Hashview 0.8.1版本存在安全漏洞,该漏洞源于密码重置功能配置不当,可能导致账户接管。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
其他
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2025-43930 的公开POC
| # | POC 描述 | 源链接 | 神龙链接 |
|---|
三、漏洞 CVE-2025-43930 的情报信息
-
标题: hashview/hashview/users/routes.py at 579a082176279f4af0e128e44c9da5667f82ec5a · hashview/hashview · GitHub -- 🔗来源链接
标签:
神龙速读
-
标题: [SECURITY] Host Header Injection Leading to Account Takeover (CVE-2025-43930) · Issue #145 · hashview/hashview -- 🔗来源链接
标签:
神龙速读![[SECURITY] Host Header Injection Leading to Account Takeover (CVE-2025-43930) · Issue #145 · hashview/hashview](https://cvepdf.imfht.com:2443//ti_screenshot/2025-07-11/screenshot-full-2025-07-11T16-38-27.883Z-338047c7355368c6d5ec.webp)
- https://nvd.nist.gov/vuln/detail/CVE-2025-43930