CVE-2026-21622 密码重置令牌不过期 漏洞概述 漏洞名称: Password Reset Tokens Do Not Expire (密码重置令牌不过期) CVSS 评分: 9.5 (CRITICAL) CWE: CWE-613 Insufficient Session Expiration (会话过期不足) 描述: 在 项目的 模块中存在“会话过期不足”漏洞。当用户请求密码重置时,Hexpm 会发送一封包含重置链接的电子邮件。该令牌(token)永不过期,直到被使用,且没有基于时间的过期限制。 危害: 如果用户的历史邮件因数据泄露(如泄露的邮箱存档)而暴露,攻击者可以使用该数据集中的任何未使用的密码重置邮件来重置受害者的密码。攻击者不需要访问受害者的当前电子邮件账户,只需访问以前泄露的重置邮件副本即可。 影响范围 受影响的项目为 ,具体涉及以下模块和文件: 模块: 源文件: 受影响例程: 受影响版本: Git 版本范围:从 到 之间。 日期版本:2025-08-01 之前。 修复方案 用户侧: 如果用户怀疑邮件暴露,应立即重置密码。 启用并强制执行 2FA (双因素认证)。 开发侧: 必须实施令牌过期机制(There is no complete mitigation without implementing token expiration)。 修复版本: Git 修复版本: * 日期修复版本: 之后。