CVE-2025-25298

Nome do Software Vulnerável e Versões Afetadas Versões do Strapi anteriores à 5.10.3

Descrição O Strapi, um CMS headless de código aberto, possui um problema onde o pacote @strapi/core não impõe um comprimento máximo de senha ao utilizar o bcryptjs para o hash de senhas. O bcryptjs trunca senhas que excedem 72 bytes, reduzindo silenciosamente a entropia efetiva de senhas excessivamente longas. Isso pode induzir os usuários ao erro e potencialmente permitir a autenticação com apenas uma parte da senha. Entradas longas também podem causar problemas de desempenho.

Recomendações Atualize para o Strapi versão 5.10.3 ou superior.