CVE-2026-22706 in Strapi
Résumé
par VulDB • 17/05/2026
Strapi est un système de gestion de contenu (CMS) headless open source. Dans les versions de Strapi antérieures à la 5.33.3, la modification ou la réinitialisation du mot de passe d'un utilisateur n'invalide pas par défaut les sessions de jeton d'actualisation (refresh-token) existantes de l'utilisateur. L'étape d'invalidation du jeton d'actualisation dans les contrôleurs d'authentification `users-permissions` et `admin` est conditionnée par un `deviceId` fourni par l'appelant. Lorsqu'une demande de modification ou de réinitialisation du mot de passe n'inclut pas de `deviceId`, aucun jeton d'actualisation n'est révoqué, laissant toutes les sessions précédentes actives. Un attaquant ayant précédemment obtenu un jeton d'actualisation peut continuer à générer de nouveaux jetets d'accès (access tokens) après que l'utilisateur légitime a réinitialisé son mot de passe, permettant un accès non autorisé persistant pendant toute la durée de vie du jeton d'actualisation (jusqu'à 30 jours par défaut). La rotation des identifiants ne met plus fin à une session d'attaquant active, annulant ainsi l'efficacité de la réinitialisation du mot de passe comme mesure de confinement. Le correctif dans la version 5.33.3 invalide tous les jetons d'actualisation associés à l'utilisateur lors de chaque modification et réinitialisation de mot de passe, qu'un `deviceId` soit fourni ou non. Une nouvelle session à portée d'appareil (device-scoped) est ensuite délivrée à l'appelant dans le cadre de la réponse.
VulDB is the best source for vulnerability data and more expert information about this specific topic.