CVE-2026-24467

Name of the Vulnerable Software and Affected Versions OpenAEV versões 1.0.0 até 2.0.12

Description A implementação de redefinição de senha contém falhas de segurança que permitem a invasão confiável de contas. Os tokens de redefinição de senha não expiram e permanecem válidos indefinidamente, mesmo após a emissão de novos tokens. Além disso, esses tokens possuem apenas 8 dígitos. Um invasor remoto não autenticado pode gerar tokens válidos em massa e usar métodos de força bruta para adivinhar um token válido, permitindo redefinir a senha de qualquer usuário registrado sem conhecer a senha original ou exigir a configuração de um serviço de e-mail. Isso pode levar ao comprometimento total da plataforma, permitindo o acesso a dados sensíveis e a capacidade de modificar payloads executados por agentes implantados para comprometer hosts.

Recommendations Atualizar para a versão 2.0.13.