CVE-2026-22706 in Strapiالمعلومات

الملخص

بحسب VulDB • 22/05/2026

يُعد Strapi نظام إدارة محتوى مفتوح المصدر من نوع headless. في الإصدارات السابقة من Strapi الإصدار 5.33.3، لم يكن تغيير أو إعادة تعيين كلمة مرور المستخدم يؤدي إلى إبطال جلسات refresh-token الحالية للمستخدم بشكل افتراضي. كانت خطوة إبطال refresh-token في وحدات تحكم المصادقة الخاصة بـ users-permissions و admin مشروطة بوجود `deviceId` يتم توفيره من قبل المُطلِق. عندما لم يتضمن طلب تغيير أو إعادة تعيين كلمة مرور `deviceId`، لم يتم إلغاء صلاحية أي من رموز refresh-token، مما ترك جميع الجلسات السابقة نشطة. يمكن لمهاجم حصل مسبقاً على refresh-token أن يستمر في إصدار رموز وصول جديدة (access tokens) بعد أن يعيد المستخدم الشرعي تعيين كلمة مروره، مما يتيح وصولاً غير مصرح به ومستمر طوال مدة صلاحية refresh-token (حتى 30 يوماً بشكل افتراضي). لم يعد تدوير بيانات الاعتماد (rotating credentials) ينهي جلسة المهاجم النشطة، مما يُفقد إعادة تعيين كلمة المرور فعاليتها كإجراء احتواء. يُبطل التصحيح في الإصدار 5.33.3 جميع رموز refresh-token المرتبطة بالمستخدم عند كل تغيير وإعادة تعيين لكلمة المرور، بغض النظر عما إذا كان يتم توفير `deviceId` أم لا. ثم يتم إصدار جلسة جديدة محدودة بجهاز معين (device-scoped session) للمُطلِق كجزء من الاستجابة.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

مسؤول

GitHub M

حجز

08/01/2026

إفشاء

14/05/2026

الاعتدال

تمت الموافقة

إدخال

VDB-363965

CPE

جاهز

CWE

CWE-613 (مؤكد)

CVSS

6.5 (NVD)

EPSS

0.00059

KEV

لا

النشاطات

منخفض جدًا

المصادر

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-22706
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-22706
CVE Details	https://www.cvedetails.com/cve/CVE-2026-22706/

التالي ▸نظرة عامة ◂ السابق

Do you want to use VulDB in your project?

Use the official API to access entries easily!