CVE-2026-34570

Nome do Software Vulnerável e Versões Afetadas CI4MS versões anteriores a 0.31.0.0

Descrição A aplicação não revoga imediatamente as sessões de usuário ativas quando uma conta é excluída. Isso ocorre devido a uma falha lógica onde as alterações de estado da conta são aplicadas apenas durante o login, e não para as sessões existentes. O sistema assume incorretamente que os usuários autenticados permanecem confiáveis mesmo após a exclusão da conta, levando a acesso indefinido até o logout manual. Isso quebra o controle de acesso e permite acesso não autorizado persistente. O problema afeta todos os endpoints autenticados, incluindo as interfaces administrativas e de conteúdo.

Recomendações Invalidar imediatamente todas as sessões ativas quando uma conta for excluída. Impor verificações de status da conta em cada solicitação autenticada, e não apenas durante o login. Introduzir mecanismos adequados de expiração de sessão ou de conta para evitar acesso indefinido. Corrigir a falha lógica no backend para garantir que o comportamento do controle de acesso esteja alinhado com o design de segurança pretendido e não dependa de suposições de confiança inseguras.