CVE-2026-34572

Nome do Software Vulnerável e Versões Afetadas CI4MS versões anteriores a 0.31.0.0

Descrição A aplicação não revoga imediatamente as sessões de usuário ativas quando uma conta é desativada. Isso ocorre devido a uma falha lógica onde as alterações de estado da conta são aplicadas apenas durante o login, e não para sessões existentes. O sistema assume que os usuários autenticados permanecem confiáveis indefinidamente, sem mecanismos de expiração de sessão ou conta. Isso permite que contas desativadas mantenham o acesso até o logout manual, violando o controle de acesso e resultando em acesso não autorizado. Isso afeta todos os endpoints autenticados, incluindo interfaces administrativas e de conteúdo.

Recomendações Invalidar imediatamente todas as sessões ativas quando uma conta for desativada. Impor verificações de status da conta em cada solicitação autenticada. Introduzir mecanismos de expiração de sessão ou conta. Corrigir a falha lógica no backend para garantir que o controle de acesso esteja alinhado com o design de segurança.