← voltar
CVE-2025-56676

CVE-2025-56676

CVSS 5.4 MEDIUMEPSS 0.3%CWE-1259
Em resumo

O TitanSystems Zender v3.9.7 possui uma falha no recurso de redefinição de senha em que um token de reset destinado a um usuário pode ser usado para fazer login em qualquer outra conta. Um atacante consegue derrotar as validações e acessar contas de outros usuários sem autorização.

Detalhe técnico

A funcionalidade de reset de senha não valida corretamente a ligação entre tokens de reset e contas de usuário (CWE-1259: Improper Validation of Specified Quantity in Input). Um atacante pode obter um token de reset emitido para um usuário e aplicá-lo à conta de outro usuário durante o login, contornando a autenticação e realizando takeover de conta. Isso permite acesso não autorizado e escalação de privilégio sem necessidade das credenciais reais do usuário alvo.

Resumo gerado e traduzido por IA a partir da descrição oficial.
TitanSystems Zender v3.9.7 contains an account takeover vulnerability in its password reset functionality. A temporary password or reset token issued to one user can be used to log in as another user, due to improper validation of token-user linkage. This allows remote attackers to gain unauthorized access to any user account by exploiting the password reset mechanism. The vulnerability occurs because the reset token is not correctly bound to the requesting account and is accepted for other user emails during login, enabling privilege escalation and information disclosure.
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:L
Produtos afetados
n/a · n/a

Quer saber se a sua infraestrutura está exposta a isto?

Falar com a TrueHacking →
Referências
https://codecanyon.net/item/zender-android-mobile-devices-as-sms-gateway-saas-platform/26594230https://darklotus.medium.com/cve-2025-56676-critical-vulnerability-in-zender-gateway-allows-account-takeover-2b5bcb50c762https://previews.titansystems.ph/zender/dashboard/auth