CVE-2026-22706

Nome do Software Vulnerável e Versões Afetadas Strapi versões anteriores a 5.33.3

Description A alteração ou redefinição da senha de um usuário não invalida as sessões de refresh-token existentes por padrão. Nos controladores de autenticação de admin e users-permissions, o processo de invalidação depende de um deviceId fornecido pelo chamador. Se uma solicitação de alteração ou redefinição de senha for feita sem um deviceId, nenhum refresh token é revogado, mantendo todas as sessões anteriores ativas. Isso permite que um invasor com um refresh token obtido anteriormente continue gerando novos tokens de acesso mesmo após a redefinição da senha, permitindo acesso não autorizado durante a vida útil do refresh token, que é de 30 dias por padrão.

Recommendations Atualize para a versão 5.33.3 ou posterior.