CVE-2026-26273
KrytyczneStreszczenie
W platformie publikacji społecznych Known, przed wersją 1.6.3, występuje krytyczna podatność związana z błędną autoryzacją. W aplikacji token resetowania hasła jest ujawniany w ukrytym polu HTML na stronie resetowania hasła, co pozwala nieautoryzowanym atakującym na jego pozyskanie.
Ocena ryzyka
Podatność ta umożliwia pełne przejęcie konta (ATO) bez potrzeby dostępu do skrzynki e-mail ofiary, co stwarza poważne zagrożenie dla bezpieczeństwa użytkowników.
Rekomendacja
Zaleca się aktualizację do wersji 1.6.3 lub nowszej, aby usunąć tę podatność i zabezpieczyć konta użytkowników.
Oryginalny opis (angielski, źródło NVD)
Known is a social publishing platform. Prior to 1.6.3, a Critical Broken Authentication vulnerability exists in Known 1.6.2 and earlier. The application leaks the password reset token within a hidden HTML input field on the password reset page. This allows any unauthenticated attacker to retrieve the reset token for any user by simply querying the user's email, leading to full Account Takeover (ATO) without requiring access to the victim's email inbox. This vulnerability is fixed in 1.6.3.

