Opis podatności
CERT Polska otrzymał zgłoszenie o podatności w oprogramowaniu Strapi i koordynował proces ujawniania informacji.
Podatność CVE-2025-3930: Strapi używa tokenów JWT (JSON Web Tokens) do uwierzytelniania. Po wylogowaniu lub dezaktywacji konta token JWT nie jest unieważniany, co pozwala atakującemu, który go przechwycił lub ukradł, na jego swobodne ponowne użycie aż do daty wygaśnięcia (domyślnie ustawionej na 30 dni, domyślną wartość można zmienić). Istnienie punktu końcowego /admin/renew-token umożliwia każdemu odnawianie tokenów bliskich wygaśnięcia w nieskończoność, co dodatkowo zwiększa skalę tego ataku.
Problem został naprawiony w wersji 5.24.1.
Podziękowania
Za zgłoszenie podatności dziękujemy Arkadiuszowi Marcie.
