CVE-2026-25700
Apache Answer: AdminToken not invalidated after admin deactivation
Em resumo
Quando uma conta de administrador é desativada ou deletada no Apache Answer, seus tokens de segurança continuam válidos e podem ser usados para acessar funções administrativas. Isso significa que um administrador antigo poderia manter acesso mesmo após ser removido.
Detalhe técnico
O Apache Answer não invalida tokens administrativos previamente emitidos quando uma conta de administrador é suspensa, deletada ou desativada (CWE-1259: Restrição Imprópria de Atribuição de Token de Segurança). Um atacante que possua um token admin válido de uma conta desativada pode continuar acessando APIs administrativas até a expiração natural do token, contornando a revogação de acesso.
Resumo gerado e traduzido por IA a partir da descrição oficial.
Improper Restriction of Security Token Assignment vulnerability in Apache Answer.
This issue affects Apache Answer: through 2.0.0.
Previously issued administrative tokens were not invalidated after an administrator account was suspended, deleted, or deactivated, allowing continued access to administrative APIs until the token expired.
Users are recommended to upgrade to version 2.0.1, which fixes the issue.
CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H
Produtos afetados
Apache Software Foundation · Apache AnswerQuer saber se a sua infraestrutura está exposta a isto?
Falar com a TrueHacking →