漏洞总结:EEF-CVE-2026-21622 1. 漏洞概述 漏洞名称: Password Reset Tokens Do Not Expire (密码重置令牌永不过期) 漏洞ID: EEF-CVE-2026-21622 (关联 CVE-613) 严重程度: 9.6 (Critical) 漏洞描述: 在 项目的 模块中存在不充分的会话过期漏洞。通过“重置密码”流程生成的令牌永不过期,没有基于时间的过期强制执行。 攻击原理: 如果用户的旧邮件数据被泄露(例如邮箱档案泄露),攻击者可以使用该数据集中任何未使用的密码重置电子邮件来重置受害者的密码。攻击者无需访问受害者的电子邮件账户,只需访问之前泄露的密码重置副本即可。 2. 影响范围 受影响软件: hexpm/hexpm 受影响文件/模块: 和 Git 版本范围: 引入版本 (Introduced): 修复版本 (Fixed): CPE ID: 3. 修复方案 修复方式: 升级至修复后的版本。 具体修复 Commit: 参考链接: GitHub Advisory GitHub Commit