CRITICAL🇬🇧 English

CVE-2026-21622

Brak wygasania tokenów resetowania hasła w Hex (hexpm) — przejęcie konta

CVSS 9.5v4.0pub. 2026-03-05upd. 2026-04-06

W aplikacji hexpm (rejestr pakietów Elixir) tokeny resetowania hasła generowane przez moduł 'Elixir.Hexpm.Accounts.PasswordReset' nigdy nie wygasają. Oznacza to, że atakujący posiadający dostęp do archiwalnej wiadomości e-mail z linkiem resetującym może przejąć kontrolę nad kontem ofiary bez potrzeby bieżącego dostępu do jej skrzynki pocztowej.

Pokaż oryginał (EN)

Insufficient Session Expiration vulnerability in hexpm hexpm/hexpm ('Elixir.Hexpm.Accounts.PasswordReset' module) allows Account Takeover. Password reset tokens generated via the "Reset your password" flow do not expire. When a user requests a password reset, Hex sends an email containing a reset link with a token. This token remains valid indefinitely until used. There is no time-based expiration enforced. If a user's historical emails are exposed through a data breach (e.g., a leaked mailbox archive), any unused password reset email contained in that dataset could be used by an attacker to reset the victim's password. The attacker does not need current access to the victim's email account, only access to a previously leaked copy of the reset email. This vulnerability is associated with program files lib/hexpm/accounts/password_reset.ex and program routines 'Elixir.Hexpm.Accounts.PasswordReset':can_reset?/3. This issue affects hexpm: from 617e44c71f1dd9043870205f371d375c5c4d886d before bb0e42091995945deef10556f58d046a52eb7884.

🤖 Analiza AI
Jak działa

Gdy użytkownik inicjuje procedurę resetowania hasła, serwis Hex wysyła e-mail z tokenem resetującym osadzonym w linku. Token ten nie posiada żadnego mechanizmu wygasania opartego na czasie — pozostaje ważny bezterminowo aż do momentu jego użycia. Funkcja odpowiedzialna za weryfikację tokenu ('Elixir.Hexpm.Accounts.PasswordReset':can_reset?/3) nie sprawdza daty jego wystawienia. Jeśli archiwum skrzynki pocztowej ofiary wycieknie (np. wskutek naruszenia bezpieczeństwa innego serwisu), atakujący może skorzystać z dowolnego nieużytego tokenu resetującego zawartego w tym archiwum i zmienić hasło do konta na Hex.

Skutki

Atakujący może przejąć konto użytkownika na platformie Hex (Account Takeover), uzyskując możliwość publikowania, modyfikowania lub usuwania pakietów Elixir należących do ofiary, co może prowadzić do dalszego naruszenia integralności łańcucha dostaw oprogramowania.

Mitygacja

Należy zaktualizować hexpm do wersji zawierającej commit bb0e42091995945deef10556f58d046a52eb7884, który wprowadza czasowe wygasanie tokenów resetowania hasła. Szczegóły dostępne w referencjach producenta: https://github.com/hexpm/hexpm/commit/bb0e42091995945deef10556f58d046a52eb7884 oraz https://github.com/hexpm/hexpm/security/advisories/GHSA-6r94-pvwf-mxqm

Kogo dotyczy

Aplikacja hexpm (hexpm/hexpm) — commity od 617e44c71f1dd9043870205f371d375c5c4d886d do (nie włącznie) bb0e42091995945deef10556f58d046a52eb7884

Uwagi

Podatność dotyczy konkretnego modułu Elixir: lib/hexpm/accounts/password_reset.ex, funkcja can_reset?/3. CVE zostało opublikowane przez CNA Erlang Ecosystem Foundation (ERLEF) w dniu 2026-03-05.

CVSS Vector
CVSS:4.0/AV:N/AC:L/AT:P/PR:N/UI:N/VC:H/VI:H/VA:L/SC:H/SI:H/SA:L/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X
  • Hex Hexpm

    APP
    Hex
    2025-10-01 – 2026-03-05 (bez)
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje

Powiązane podatności

CVE-2026-23940HIGH7.1ten sam produkt

Uncontrolled Resource Consumption vulnerability in hexpm hexpm/hexpm allows Excessive Allocation. Publishing a...

CVE-2026-21621HIGH7.0ten sam produkt

Incorrect Authorization vulnerability in hexpm hexpm/hexpm ('Elixir.HexpmWeb.API.OAuthController' module) allo...

CVE-2026-21618HIGH8.5ten sam produkt

Improper Neutralization of Input During Web Page Generation (XSS or 'Cross-site Scripting') vulnerability in h...

CVE-2026-23939MEDIUM6.9ten sam produkt

Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal') vulnerability in hexpm hexpm/he...

CVE-2026-32148HIGH8.9ten sam vendor

Insufficient Verification of Data Authenticity vulnerability in hexpm hex (Hex.RemoteConverger module) allows ...

CVE-2026-21622 — Brak wygasania tokenów resetowania hasła w Hex (hexpm) — przejęcie konta — CRITICAL 9.5 | CVEbaza.pl