关键漏洞信息 漏洞概述 标题: Admin UI User Password Change Does Not Invalidate Current Session CVE ID: CVE-2025-57766 严重性: 低 影响版本与修复版本 受影响版本: < 2.69.1 修复版本: 2.69.1 漏洞描述 摘要: 在Fides中,管理员UI用户密码更改不会使活动会话失效,从而为攻击者提供了一个漏洞链接机会。如果攻击者通过其他攻击向量(如XSS)获取了会话令牌,则即使在密码重置后也能维持访问。 详细信息: Fides使用具有扩展过期时间的加密身份验证令牌。当通过密码重置端点更改密码时,系统会更新数据库中的密码哈希,但不会使现有客户端会话或令牌失效。身份验证系统基于其加密完整性和过期时间验证令牌,而不是当前密码状态。 影响 此漏洞作为攻击链中的持久机制,而不是主要攻击向量。当与令牌窃取漏洞链接时,允许攻击者: - 在用户因疑似妥协而更改密码以响应时,保持访问权限超出缓解窗口。 - 将客户端侧攻击的影响时间从几分钟/小时延长到潜在的更长时期。 - 击败依赖于密码更改来保护受损帐户的常见事件响应程序。 修复措施 补丁: 该漏洞已在Fides版本2.69.1中修复。建议用户升级到此版本或更高版本以保护其系统免受此威胁。 变通方法: 无 严重性评估 该漏洞被分配为低严重性,因为: - 没有直接可利用性 - 需要与其他漏洞链接。 - 攻击复杂性高 - 需要多次成功的利用。 - 单独影响有限 - 只是扩展了现有的妥协。 - 符合行业标准对会话无效化失败的低严重性分类。