strapi before 3.0.0-beta.17.5 mishandles password resets within packages/strapi-admin/controllers/Auth.js and packages/strapi-plugin-users-permissions/controllers/Auth.js.
oryginał ENCVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:HStrapi
APPStrapi3.0.0≤ 1.6.4
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje
Powiązane podatności
CVE-2026-22599CRITICAL9.3PL ✓ten sam produkt
SQL Injection w Strapi Content-Type Builder — możliwe RCE i odczyt plików
CVE-2026-27886CRITICAL9.2PL ✓ten sam produkt
Strapi: Path Traversal w filtrach relacyjnych umożliwia przejęcie konta admina
CVE-2022-27263CRITICAL9.8ten sam produkt
An arbitrary file upload vulnerability in the file upload module of Strapi v4.1.5 allows attackers to execute ...
CVE-2020-27664CRITICAL9.8ten sam produkt
admin/src/containers/InputModalStepperProvider/index.js in Strapi before 3.2.5 has unwanted /proxy?url= functi...
CVE-2024-56143HIGH8.2ten sam produkt
Strapi is an open-source headless content management system. In versions from 5.0.0 to before 5.5.2, the looku...