PT-2026-53747 · Strapi · Users-Permissions Plugin
Bl4Ck570Rm
·
Publicado
2026-06-29
·
Atualizado
2026-06-30
·
CVE-2026-57997
CVSS v3.1
4.8
Média
| Vetor | AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:L/A:N |
Nome do Software Vulnerável e Versões Afetadas
Strapi users-permissions plugin (versões afetadas não especificadas)
Description
O plugin users-permissions falha ao restringir os algoritmos de JSON Web Token (JWT) quando a configuração
plugin::users-permissions.jwt.algorithm não é explicitamente definida. Isso permite que o sistema aceite tokens HS384 e HS512 além do HS256. Um invasor que possua o jwtSecret pode criar tokens usando essas variantes HMAC não padronizadas para ignorar as restrições de algoritmo e enfraquecer os controles de autenticação.Recommendations
Configure explicitamente a definição
plugin::users-permissions.jwt.algorithm para restringir os algoritmos JWT aceitos.
No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade.Use of a Broken Cryptographic Algorithm
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Users-Permissions Plugin