Derrickmehaffy

**Nome do Software Vulnerável e Versões Afetadas** Strapi versões anteriores a 5.33.3 **Description** A alteração ou redefinição da senha de um usuário não invalida as sessões de refresh-token existentes por padrão. Nos controladores de autenticação de admin e users-permissions, o processo de invalidação depende de um `deviceId` fornecido pelo chamador. Se uma solicitação de alteração ou redefinição de senha for feita sem um `deviceId`, nenhum refresh token é revogado, mantendo todas as sessões anteriores ativas. Isso permite que um invasor com um refresh token obtido anteriormente continue gerando novos tokens de acesso mesmo após a redefinição da senha, permitindo acesso não autorizado durante a vida útil do refresh token, que é de 30 dias por padrão. **Recommendations** Atualize para a versão 5.33.3 ou posterior.