ApostrofeCMS — это платформа управления контентом с открытым исходным кодом. До версии 4.28.0 промежуточное программное обеспечение аутентификации токена-носителя в `@apostropecms/express/index.js` (строки 386-389) содержало неправильный запрос MongoDB, который позволял использовать неполные токены входа (если пароль был проверен, но НЕ выполнялись требования TOTP/MFA) в качестве полностью аутентифицированных токенов-носителей. Это полностью обходит многофакторную аутентификацию для любого развертывания ApostropeCMS с использованием `@apostropecms/login-totp` или любого специального требования входа в систему `afterPasswordVerified`.
Версия 4.28.0 устраняет проблему.
Показать оригинальное описание (EN)
ApostropheCMS is an open-source content management framework. Prior to version 4.28.0, the bearer token authentication middleware in `@apostrophecms/express/index.js` (lines 386-389) contains an incorrect MongoDB query that allows incomplete login tokens — where the password was verified but TOTP/MFA requirements were NOT — to be used as fully authenticated bearer tokens. This completely bypasses multi-factor authentication for any ApostropheCMS deployment using `@apostrophecms/login-totp` or any custom `afterPasswordVerified` login requirement. Version 4.28.0 fixes the issue.
Характеристики атаки
Последствия
Строка CVSS v3.1