CVE-2026-55164

Nome do Software Vulnerável e Versões Afetadas Lemur (versões afetadas não especificadas)

Descrição As senhas são armazenadas em texto simples na coluna users.password quando a senha de um usuário é atualizada. Isso ocorre porque o modelo User dispara a compactação da senha apenas durante o evento before insert e não possui um ouvinte correspondente para o evento before update. Além disso, a função update() na camada de serviço não chama a função hash password() após atribuir um novo valor de senha.

Este problema é acionado através do endpoint de API restrito a administradores PUT /api/1/users/<id> quando a variável password é fornecida. Consequentemente, qualquer alteração de senha realizada por um administrador resulta na persistência da senha em texto simples no banco de dados. Isso ignora a proteção fornecida pelo bcrypt, significando que, se o banco de dados, backups ou logs forem comprometidos, invasores podem obter credenciais utilizáveis sem a necessidade de realizar a quebra de hash offline.

Recomendações Registre a função hash password() como um ouvinte para o evento before update no modelo User para garantir que todas as atualizações de senha sejam compactadas. Como alternativa, chame a função hash password() dentro da função de serviço update() imediatamente após a atribuição da variável password. Rotacione todas as credenciais que foram armazenadas em texto simples, pois elas devem ser consideradas comprometidas.