← volver
CVE-2025-56676

CVE-2025-56676

CVSS 5.4 MEDIUMEPSS 0.3%CWE-1259
En resumen

TitanSystems Zender v3.9.7 tiene una falla en su función de restablecimiento de contraseña donde un token de reset destinado a un usuario puede ser utilizado para iniciar sesión en cualquier otra cuenta. Un atacante puede comprometer cuentas de otros usuarios explotando esta validación defectuosa.

Detalle técnico

La funcionalidad de restablecimiento de contraseña no valida correctamente la vinculación entre tokens de reset y cuentas de usuario (CWE-1259: Improper Validation of Specified Quantity in Input). Un atacante puede obtener un token de reset emitido para un usuario y aplicarlo a la cuenta de otro usuario durante el inicio de sesión, eludiendo la autenticación y logrando la toma de control de cuenta. Esto permite acceso no autorizado y escalación de privilegios sin requerir las credenciales reales del usuario objetivo.

Resumen generado y traducido por IA a partir de la descripción oficial.
TitanSystems Zender v3.9.7 contains an account takeover vulnerability in its password reset functionality. A temporary password or reset token issued to one user can be used to log in as another user, due to improper validation of token-user linkage. This allows remote attackers to gain unauthorized access to any user account by exploiting the password reset mechanism. The vulnerability occurs because the reset token is not correctly bound to the requesting account and is accepted for other user emails during login, enabling privilege escalation and information disclosure.
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:L
Productos afectados
n/a · n/a

¿Quieres saber si tu infraestructura está expuesta a esto?

Hablar con TrueHacking →
Referencias
https://codecanyon.net/item/zender-android-mobile-devices-as-sms-gateway-saas-platform/26594230https://darklotus.medium.com/cve-2025-56676-critical-vulnerability-in-zender-gateway-allows-account-takeover-2b5bcb50c762https://previews.titansystems.ph/zender/dashboard/auth