CVE-2026-54588 Poweradmin - Injeção de Cabeçalho
A vulnerabilidade permite que um atacante não autenticado poisoned o cabeçalho HTTP_HOST e redirecione o código de autorização para um servidor controlado pelo atacante, resultando na tomada completa da conta sem necessidade de credenciais. Isso ocorre devido à falta de validação do cabeçalho HTTP_HOST nas fluxos de autenticação OIDC, SAML e logout. A exploração dessa vulnerabilidade pode levar à perda de controle total sobre as contas afetadas.
CVE: CVE-2026-54588
Severidade: CRITICAL
Resumo:
A vulnerabilidade permite que um atacante não autenticado poisoned o cabeçalho HTTP_HOST e redirecione o código de autorização para um servidor controlado pelo atacante, resultando na tomada completa da conta sem necessidade de credenciais. Isso ocorre devido à falta de validação do cabeçalho HTTP_HOST nas fluxos de autenticação OIDC, SAML e logout. A exploração dessa vulnerabilidade pode levar à perda de controle total sobre as contas afetadas.
CVSS: 9.6