CVE-2026-26273
CriticalSummary
W platformie publikacji społecznych Known, przed wersją 1.6.3, występuje krytyczna podatność związana z błędną autoryzacją. W aplikacji token resetowania hasła jest ujawniany w ukrytym polu HTML na stronie resetowania hasła, co pozwala nieautoryzowanym atakującym na jego pozyskanie.
Risk Assessment
Podatność ta umożliwia pełne przejęcie konta (ATO) bez potrzeby dostępu do skrzynki e-mail ofiary, co stwarza poważne zagrożenie dla bezpieczeństwa użytkowników.
Recommendation
Zaleca się aktualizację do wersji 1.6.3 lub nowszej, aby usunąć tę podatność i zabezpieczyć konta użytkowników.
Original NVD description (English source)
Known is a social publishing platform. Prior to 1.6.3, a Critical Broken Authentication vulnerability exists in Known 1.6.2 and earlier. The application leaks the password reset token within a hidden HTML input field on the password reset page. This allows any unauthenticated attacker to retrieve the reset token for any user by simply querying the user's email, leading to full Account Takeover (ATO) without requiring access to the victim's email inbox. This vulnerability is fixed in 1.6.3.

