Initiative — это автономная платформа управления проектами. Версии приложения до 0.32.4 не аннулируют ранее выданные токены доступа JWT после того, как пользователь меняет свой пароль. В результате старые токены остаются действительными до истечения срока их действия и по-прежнему могут использоваться для доступа к защищенным конечным точкам API.
Такое поведение обеспечивает постоянный доступ с аутентификацией даже после обновления пароля учетной записи. Версия 0.32.4 устраняет проблему.
Показать оригинальное описание (EN)
Initiative is a self-hosted project management platform. Versions of the application prior to 0.32.4 do not invalidate previously issued JWT access tokens after a user changes their password. As a result, older tokens remain valid until expiration and can still be used to access protected API endpoints. This behavior allows continued authenticated access even after the account password has been updated. Version 0.32.4 fixes the issue.
Характеристики атаки
Последствия
Строка CVSS v3.1
Тип уязвимости (CWE)
Уязвимые продукты 1
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Morelitea Initiative
cpe:2.3:a:morelitea:initiative:*:*:*:*:*:*:*:*
|
— |
0.32.4
|