CVE-2026-40587

Name of the Vulnerable Software and Affected Versions blueprintUE versões anteriores a 4.2.0

Description A alteração de senha através da página de edição de perfil ou a conclusão de uma redefinição de senha via link de redefinição não invalida as sessões autenticadas existentes. O armazenamento de sessão no lado do servidor associa o userID a uma sessão, mas o processo de atualização de senha modifica apenas a coluna de senha na tabela de usuários, sem destruir as sessões ativas. Consequentemente, um invasor com uma sessão comprometida mantém o acesso à conta até que a sessão expire naturalmente, com base nas configurações SESSION GC MAXLIFETIME (padrão de 86400 segundos) ou SESSION LIFETIME.

Recommendations Atualizar para a versão 4.2.0.