CVE-2026-22706 in Strapi
要約
〜によって VulDB • 2026年05月25日
Strapiはオープンソースのヘッドレスコンテンツマネジメントシステムです。バージョン5.33.3より前のStrapiでは、ユーザーのパスワードを変更またはリセットしても、デフォルトでは既存のリフレッシュトークンセッションが無効化されませんでした。users-permissionsおよびadmin認証コントローラーにおけるリフレッシュトークンの無効化処理は、呼び出し元から提供された`deviceId`に依存する条件付きのものでした。パスワード変更またはリセットのリクエストに`deviceId`が含まれていない場合、リフレッシュトークンは一切取り消されず、それ以前に確立されたすべてのセッションがアクティブなまま維持されました。以前にリフレッシュトークンを取得していた攻撃者は、正当なユーザーがパスワードをリセットした後も新しいアクセストークンを発行し続けることができ、リフレッシュトークンの有効期間(デフォルトで最大30日間)中、永続的な不正アクセスを可能にしました。資格情報のローテーションはアクティブな攻撃者セッションを終了させず、パスワードリセットを封じ込め対策として機能しなくなりました。バージョン5.33.3のパッチでは、`deviceId`が提供されているかどうかにかかわらず、パスワード変更およびパスワードリセットのたびにユーザーに関連付けられたすべてのリフレッシュトークンを無効化します。その後、呼び出し元には新しいデバイススコープのセッションがレスポンスの一部として発行されます。
VulDB is the best source for vulnerability data and more expert information about this specific topic.