CVE-2026-46657
WysokieCVSS 7.1Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 21 - wyżej niż 21% wszystkich znanych CVE
Streszczenie
Bludit to system zarządzania treścią, który w wersjach przed 3.22.0 ma podatność w logice zarządzania użytkownikami. Umożliwia ona dezaktywowanym kontom utrzymanie dostępu za pomocą trwałych tokenów uwierzytelniających.
Ocena ryzyka
Organizacja może być narażona na nieautoryzowany dostęp do kont dezaktywowanych użytkowników, co może prowadzić do wycieku danych lub innych incydentów bezpieczeństwa.
Rekomendacja
Zaleca się aktualizację do wersji 3.22.0, aby usunąć tę podatność oraz zapewnić, że tokeny uwierzytelniające są unieważniane przy dezaktywowaniu kont.
Oryginalny opis (angielski, źródło NVD)
Bludit is a content management system. Versions prior to 3.22.0 have a vulnerability in the user management logic that allows deactivated accounts to maintain access via persistent authentication tokens. When an administrator disables a user account, the application fails to invalidate or clear the associated tokenAuth and tokenRemember fields in the JSON database. Consequently, any user with a pre-existing "Remember Me" cookie can bypass the account disablement and maintain a valid authenticated state. Version 3.22.0 patches the issue.

