CVE-2021-31590

Versões do PwnDoc anteriores à 0.4.0

O problema está relacionado ao tratamento incorreto do JSON Webtoken, levando a um controle de acesso incorreto. Com um JSON Webtoken válido usado para autenticação e autorização, um usuário pode manter privilégios de administrador mesmo após ter sido rebaixado para o privilégio de “usuário”. Além disso, mesmo após a conta de um usuário ser excluída, ele ainda pode acessar o painel de administração, adicionar ou excluir usuários e tem acesso total ao sistema.

Para versões anteriores à 0.4.0, atualize para a versão 0.4.0 ou posterior para resolver o problema. Como solução temporária, considere desativar o uso de JSON Webtokens para autenticação e autorização até que um patch esteja disponível. Restrinja o acesso ao painel de administração para minimizar o risco de exploração. Evite usar o JSON Webtoken para usuários que foram rebaixados para o privilégio de “usuário” ou tiveram suas contas excluídas.