anonhaven

CVE-2026-21622

CRITICAL CVSS 4.0: 9,5 EPSS 0.06%
Обновлено 6 апреля 2026
Sixcolors
Параметр Значение
CVSS 9,5 (CRITICAL)
Уязвимые версии 2025-10-01 — bb0e42091995945deef10556f58d046a52eb7884
Устранено в версии 2026-03-05
Тип уязвимости CWE-613
Поставщик Sixcolors
Публичный эксплойт Нет

Уязвимость недостаточного срока действия сеанса в hexpm hexpm/hexpm (модуль «Elixir.Hexpm.Accounts.PasswordReset») делает возможным захват учетной записи. Токены сброса пароля, созданные с помощью потока «Сброс пароля», не имеют срока действия. Когда пользователь запрашивает сброс пароля, Hex отправляет электронное письмо, содержащее ссылку для сброса с токеном.

Этот токен остается действительным на неопределенный срок, пока не будет использован. Срок действия не ограничен по времени. Если исторические электронные письма пользователя становятся доступными в результате утечки данных (например, утечка архива почтового ящика), любое неиспользованное электронное письмо для сброса пароля, содержащееся в этом наборе данных, может быть использовано злоумышленником для сброса пароля жертвы.

Злоумышленнику не нужен текущий доступ к учетной записи электронной почты жертвы, а только доступ к ранее утекшей копии электронного письма для сброса. Эта уязвимость связана с программными файлами lib/hexpm/accounts/password_reset.ex и программными процедурами Elixir.Hexpm.Accounts.PasswordReset':can_reset?/3. Эта проблема затрагивает hexpm: от 617e44c71f1dd9043870205f371d375c5c4d886d до bb0e42091995945deef10556f58d046a52eb7884.

Показать оригинальное описание (EN)

Insufficient Session Expiration vulnerability in hexpm hexpm/hexpm ('Elixir.Hexpm.Accounts.PasswordReset' module) allows Account Takeover. Password reset tokens generated via the "Reset your password" flow do not expire. When a user requests a password reset, Hex sends an email containing a reset link with a token. This token remains valid indefinitely until used. There is no time-based expiration enforced. If a user's historical emails are exposed through a data breach (e.g., a leaked mailbox archive), any unused password reset email contained in that dataset could be used by an attacker to reset the victim's password. The attacker does not need current access to the victim's email account, only access to a previously leaked copy of the reset email. This vulnerability is associated with program files lib/hexpm/accounts/password_reset.ex and program routines 'Elixir.Hexpm.Accounts.PasswordReset':can_reset?/3. This issue affects hexpm: from 617e44c71f1dd9043870205f371d375c5c4d886d before bb0e42091995945deef10556f58d046a52eb7884.

Характеристики атаки

Способ атаки
По сети
Атака возможна удалённо
Сложность
Низкая
Легко эксплуатировать
Условия для атаки
Требуются
Нужны дополнительные условия
Нужны права
Не требуются
Права не нужны
Участие пользователя
Не требуется
Не нужно действие пользователя

Последствия

Конфиденциальность
Высокое
Полная утечка данных
Целостность
Высокое
Полная модификация данных
Доступность
Низкое
Частичное нарушение работы

Строка CVSS v4.0

Тип уязвимости (CWE)

CWE-613

Уязвимые продукты 3

Конфигурация От (включительно) До (исключительно)
Sixcolors Hexpm
cpe:2.3:a:sixcolors:hexpm:*:*:*:*:*:*:*:*
 2026-03-05
Hexpm Hexpm
cpe:2.3:a:hexpm:hexpm:*:*:*:*:*:*:*:*
 617e44c71f1dd9043870205f371d375c5c4d886d bb0e42091995945deef10556f58d046a52eb7884
Hex Hexpm
cpe:2.3:a:hex:hexpm:*:*:*:*:*:*:*:*
 2025-10-01 2026-03-05

Ссылки 4

https://github.com/hexpm/hexpm/commit/bb0e42091995945deef10556f58d046a52eb7884
6b3ad84c-e1a6-4bf7-a703-f496b71e49db
https://github.com/hexpm/hexpm/security/advisories/GHSA-6r94-pvwf-mxqm
6b3ad84c-e1a6-4bf7-a703-f496b71e49db
https://cna.erlef.org/cves/CVE-2026-21622.html
6b3ad84c-e1a6-4bf7-a703-f496b71e49db
https://osv.dev/vulnerability/EEF-CVE-2026-21622
6b3ad84c-e1a6-4bf7-a703-f496b71e49db
Share Post Share Share Share