Opis podatności
CERT Polska otrzymał zgłoszenie o podatnościach w oprogramowaniu Payload CMS i koordynował proces ujawniania informacji.
Podatność CVE-2025-4643: Payload wykorzystuje JSON Web Tokens (JWT) do uwierzytelniania. Po wylogowaniu token JWT nie jest unieważniany, co umożliwia atakującemu, który go przechwycił lub ukradł, ponowne jego użycie aż do momentu wygaśnięcia (domyślnie po 2 godzinach, choć czas ten można zmienić).
Podatność CVE-2025-4644: W adapterze SQLite systemu Payload występowała podatność typu Session Fixation, wynikająca z ponownego użycia identyfikatora podczas tworzenia konta. Złośliwy atakujący mógł utworzyć nowe konto, zapisać jego token JWT, a następnie je usunąć — co nie powodowało unieważnienia tokena. W rezultacie kolejny nowo utworzony użytkownik otrzymywał ten sam identyfikator, co umożliwiało atakującemu ponowne użycie JWT do uwierzytelnienia i wykonywania działań jako ten użytkownik.
Oba problemy zostały naprawione w wersji 3.44.0 Payload.
Podziękowania
Za zgłoszenie podatności dziękujemy Arkadiuszowi Marcie.
