Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en NPM @perfood/couch-auth (CVE-2023-39655)

Gravedad CVSS v3.1:
CRÍTICA
Tipo:
CWE-74 Neutralización incorrecta de elementos especiales en la salida utilizada por un componente interno (Inyección)
Fecha de publicación:
03/01/2024
Última modificación:
18/06/2025

Descripción

Existe una vulnerabilidad de inyección de encabezado de host en las versiones del paquete NPM @perfood/couch-auth <= 0.20.0. Al enviar un encabezado de host especialmente manipulado en la solicitud de contraseña olvidada, es posible enviar enlaces de restablecimiento de contraseña a los usuarios que, una vez que se hace clic en ellos, conducen a un servidor controlado por el atacante y, por lo tanto, filtran el token de restablecimiento de contraseña. Esto puede permitir que un atacante restablezca las contraseñas de otros usuarios y se apodere de sus cuentas.

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:perfood:couchauth:*:*:*:*:*:node.js:*:* 0.20.0 (incluyendo)