CRITICAL🇬🇧 English

CVE-2026-26273

Wyciek tokena resetowania hasła w Known – przejęcie konta bez dostępu do skrzynki e-mail

CVSS 9.8v3.0pub. 2026-02-13upd. 2026-02-18

W platformie społecznościowej Known (wersje do 1.6.2 włącznie) istnieje krytyczna podatność polegająca na ujawnieniu tokena resetowania hasła w ukrytym polu formularza HTML. Umożliwia to nieuwierzytelnionemu atakującemu przejęcie dowolnego konta użytkownika bez konieczności posiadania dostępu do jego skrzynki pocztowej.

Pokaż oryginał (EN)

Known is a social publishing platform. Prior to 1.6.3, a Critical Broken Authentication vulnerability exists in Known 1.6.2 and earlier. The application leaks the password reset token within a hidden HTML input field on the password reset page. This allows any unauthenticated attacker to retrieve the reset token for any user by simply querying the user's email, leading to full Account Takeover (ATO) without requiring access to the victim's email inbox. This vulnerability is fixed in 1.6.3.

🤖 Analiza AI
Jak działa

Strona resetowania hasła w aplikacji Known osadza token resetujący bezpośrednio w ukrytym polu (hidden input) formularza HTML dostępnego publicznie. Atakujący, znając adres e-mail ofiary, może wysłać żądanie resetowania hasła, a następnie odczytać token wprost z kodu źródłowego strony bez konieczności przechwytywania wiadomości e-mail. Posiadając token, atakujący może samodzielnie ustawić nowe hasło i przejąć pełną kontrolę nad kontem ofiary (Account Takeover, ATO).

Skutki

Atakujący uzyskuje pełną kontrolę nad dowolnym kontem użytkownika platformy, co obejmuje dostęp do publikowanych treści, danych osobowych oraz możliwość działania w imieniu ofiary. Exploit nie wymaga żadnego uwierzytelnienia ani interakcji ze strony ofiary.

Mitygacja

Należy niezwłocznie zaktualizować Known do wersji 1.6.3, w której podatność została naprawiona. Łatka dostępna jest w repozytorium GitHub producenta (tag 1.6.3, commit 8439a07). Do czasu aktualizacji zaleca się ograniczenie dostępu do strony resetowania hasła lub tymczasowe wyłączenie tej funkcjonalności.

Kogo dotyczy

Known (platforma społecznościowa) w wersjach 1.6.2 i wcześniejszych (produkt: Withknown Known).

Uwagi

Podatność została zgłoszona i naprawiona przez producenta w wersji 1.6.3 (opublikowanej 2026-02-13). Szczegóły techniczne są publicznie dostępne w security advisory GHSA-78wq-6gcv-w28r w repozytorium GitHub projektu Known.

CVSS Vector
CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Withknown Known

    APP
    Withknown
    < 1.6.3
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
Auth Bypass
CWE
Referencje

Powiązane podatności

CVE-2026-28508CRITICAL9.2PL ✓ten sam produkt

SSRF w platformie Idno (Known) — ominięcie CSRF i dostęp do wewnętrznych zasobów

CVE-2026-28507HIGH8.6ten sam produkt

Idno is a social publishing platform. Prior to version 1.6.4, there is a remote code execution vulnerability v...

CVE-2022-33011HIGH8.8ten sam produkt

Known v1.3.1+2020120201 was discovered to allow attackers to perform an account takeover via a host header inj...

CVE-2022-30852MEDIUM4.3ten sam produkt

Known v1.3.1 was discovered to contain an Insecure Direct Object Reference (IDOR).

CVE-2022-31290MEDIUM5.4ten sam produkt

A cross-site scripting (XSS) vulnerability in Known v1.2.2+2020061101 allows authenticated attackers to execut...

CVE-2026-26273 — Wyciek tokena resetowania hasła w Known – przejęcie konta bez dostępu do skrzynki e-mail — CRITICAL 9.8 | CVEbaza.pl