Sending a recovery-token requires no authentication (SVE-624-2019-4)
auth/recovery/sendToken.php
Sends the recovery codes of an authentication factor of the logged in user to the user's e-mail address. If the attacker gets (temporary) access to the user's session, he can change the user's email address to an address he controls. No password is required. The user can then use this Ajax method to send him the recovery codes and gain access to these factors.
Sendet die Wiederherstellungscodes eines Authentifizierungsfaktors des angemeldeten Nutzers zu dessen E-Mail Adresse. Wenn der Angreifer (kurzzeitig) Zugriff auf die Session des Nutzers bekommt kann er dessen E-Mail Adresse auf eine von ihm kontrollierte Adresse ändern. Dazu bedarf es keiner Passworteingabe. Anschließend lässt er sich über diese Ajax Methode die Wiederherstellungscodes zusenden und kann damit Zugriff auf diese Faktoren erhalten.