CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2026-26273

Critical
Published: Translated: NVD NIST

Summary

W platformie publikacji społecznych Known, przed wersją 1.6.3, występuje krytyczna podatność związana z błędną autoryzacją. W aplikacji token resetowania hasła jest ujawniany w ukrytym polu HTML na stronie resetowania hasła, co pozwala nieautoryzowanym atakującym na jego pozyskanie.

Risk Assessment

Podatność ta umożliwia pełne przejęcie konta (ATO) bez potrzeby dostępu do skrzynki e-mail ofiary, co stwarza poważne zagrożenie dla bezpieczeństwa użytkowników.

Recommendation

Zaleca się aktualizację do wersji 1.6.3 lub nowszej, aby usunąć tę podatność i zabezpieczyć konta użytkowników.

Original NVD description (English source)

Known is a social publishing platform. Prior to 1.6.3, a Critical Broken Authentication vulnerability exists in Known 1.6.2 and earlier. The application leaks the password reset token within a hidden HTML input field on the password reset page. This allows any unauthenticated attacker to retrieve the reset token for any user by simply querying the user's email, leading to full Account Takeover (ATO) without requiring access to the victim's email inbox. This vulnerability is fixed in 1.6.3.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS