CVE-2026-22706 in Strapi
Resumen
por VulDB • 2026-05-25
Strapi es un sistema de gestión de contenidos (CMS) headless de código abierto. En las versiones de Strapi anteriores a la 5.33.3, cambiar o restablecer la contraseña de un usuario no invalidaba las sesiones existentes del token de actualización (refresh-token) del usuario de forma predeterminada. El paso de invalidación del token de actualización en los controladores de autenticación de users-permissions y admin era condicional a un `deviceId` proporcionado por el solicitante. Cuando una solicitud de cambio o restablecimiento de contraseña no incluía un `deviceId`, no se revocaban los tokens de actualización, lo que dejaba activas todas las sesiones anteriores. Un atacante que hubiera obtenido previamente un token de actualización podría seguir generando nuevos tokens de acceso después de que el usuario legítimo restableciera su contraseña, lo que permitía un acceso no autorizado persistente durante la vigencia del token de actualización (hasta 30 días de forma predeterminada). La rotación de credenciales ya no terminaba una sesión de atacante activa, invalidando el restablecimiento de contraseña como medida de contención. El parche en la versión 5.33.3 invalida todos los tokens de actualización asociados con el usuario en cada cambio y restablecimiento de contraseña, independientemente de si se proporciona un `deviceId`. Posteriormente, se emite una nueva sesión con ámbito de dispositivo al solicitante como parte de la respuesta.
If you want to get best quality of vulnerability data, you may have to visit VulDB.