CVE Catalog
EnglishPolski(English translation not available — showing Polish)

CVE-2026-24467

Critical
Published: Translated: NVD NIST

Summary

OpenAEV to platforma open source, która umożliwia organizacjom planowanie i przeprowadzanie symulacji cyberataków. W wersjach od 1.0.0 do 2.0.13 implementacja resetowania haseł zawiera wiele słabości, które umożliwiają przejęcie konta, w tym brak wygasania tokenów resetujących hasło.

Risk Assessment

Słabości te pozwalają atakującym na gromadzenie ważnych tokenów resetujących hasło, co znacznie zwiększa ryzyko przejęcia konta użytkownika. Możliwość wielokrotnego użycia tokenów stwarza poważne zagrożenie dla bezpieczeństwa kont użytkowników.

Recommendation

Zaleca się aktualizację OpenAEV do wersji 2.0.13 lub nowszej, aby usunąć te słabości. Dodatkowo, warto wprowadzić mechanizm wygasania tokenów resetujących hasło oraz zwiększyć ich długość dla poprawy bezpieczeństwa.

Original NVD description (English source)

OpenAEV is an open source platform allowing organizations to plan, schedule and conduct cyber adversary simulation campaign and tests. Starting in version 1.0.0 and prior to version 2.0.13, OpenAEV's password reset implementation contains multiple security weaknesses that together allow reliable account takeover. The primary issue is that password reset tokens do not expire. Once a token is generated, it remains valid indefinitely, even if significant time has passed or if newer tokens are issued for the same account. This allows an attacker to accumulate valid password reset tokens over time and reuse them at any point in the future to reset a victim’s password. A secondary weakness is that password reset tokens are only 8 digits long. While an 8-digit numeric token provides 100,000,000 possible combinations (which is secure enough), the ability to generate large numbers of valid tokens drastically reduces the required number of attempts to guess a valid password reset token. For exam

Vulnerability data from NVD (NIST) · CISA KEV · EPSS