CVE-2026-22706 in Strapi
Zusammenfassung
von VulDB • 25.05.2026
Strapi ist ein Open-Source-Headless-Content-Management-System. In Strapi-Versionen vor 5.33.3 wurden die bestehenden Refresh-Token-Sitzungen eines Benutzers beim Ändern oder Zurücksetzen des Passworts standardmäßig nicht ungültig gemacht. Der Schritt zur Ungültigmachung des Refresh-Tokens in den Authentifizierungs-Controllern für `users-permissions` und `admin` war von einem vom Aufrufer bereitgestellten `deviceId` abhängig. Wenn eine Anforderung zum Ändern oder Zurücksetzen des Passworts kein `deviceId` enthielt, wurden keine Refresh-Tokens widerrufen, wodurch alle vorherigen Sitzungen aktiv blieben. Ein Angreifer, der zuvor ein Refresh-Token erlangt hatte, konnte nach dem Zurücksetzen des Passworts durch den legitimen Benutzer weiterhin neue Access-Tokens generieren, was einen anhaltenden unbefugten Zugriff für die Dauer des Refresh-Tokens (standardmäßig bis zu 30 Tage) ermöglichte. Das Drehen der Anmeldeinformationen (Rotating Credentials) beendete keine aktive Angreifer-Sitzung, wodurch die Passwortzurücksetzung als Eindämmungsmaßnahme wirkungslos wurde. Der Patch in Version 5.33.3 macht alle mit dem Benutzer verknüpften Refresh-Tokens bei jeder Passwortänderung und jedem Passwortzurücksetzen ungültig, unabhängig davon, ob ein `deviceId` angegeben wird. Anschließend wird dem Aufrufer eine neue, gerätebezogene Sitzung als Teil der Antwort ausgestellt.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.