关键信息 漏洞名称 Password Reset Poisoning via Host Header Injection 影响版本 受影响版本: <= 1.2.45 已修复版本: 1.2.46 描述 Kanboard 的密码重置邮件包含一个从不受信任的 头派生的 URL。当应用程序的配置错误(默认情况下)时,这允许攻击者创建一个恶意的密码重置链接,将令牌发送到攻击者控制的域。如果管理员点击该链接,他们的帐户可以被接管。 细节 密码重置邮件中的链接是通过 中的代码生成的。 内部引用 在 中生成基础 URL。 由于 APP_URL 默认从 头派生且没有验证,因此在重置邮件中使用的受控 URL 是可配置的。 PoC (概念验证) 1. 使用默认配置启动 Kanboard 实例。 2. 在不更改配置的情况下,使用 Burp Suite 访问 页面并拦截请求。 3. 修改 头为攻击者控制的域。 4. 提交表单并检查响应,重置邮件包含指向 的链接。 5. 在攻击者的服务器上设置一个监听器以捕获传入的 HTTP 请求并提取令牌。 影响 这是一个密码重置中毒漏洞,通过令牌泄露导致账户接管。 严重性: 高 向量: 远程,未经身份验证的攻击者 影响: 完全账户控制,包括登录令牌窃取 缓解措施: 设置 配置文件中的