关键漏洞信息 漏洞名称 Persistent Session Access Caused by Missing Invalidation After User Disable and Password Change 漏洞ID GHSA-99qp-xh4q-pr9x 影响版本 > =5.0, <=5.7 修复版本 5.8 描述 应用程序在用户被禁用或更改密码时不会使现有会话失效,导致活动会话cookie无限期保持有效。因此,被禁用的用户或使用受危账户的攻击者可以在先前会话保持活动状态时继续访问受保护页面并执行操作。由于服务器在这些关键状态变化期间不会执行会话撤销或会话存储清理,禁用账户或更新凭证对已建立的会话没有影响。这使得管理禁用操作无效,并允许未经授权的用户在账户被关闭或密码重置后仍能保持完全访问权限,从而暴露系统于长时间的未经授权使用,并显著增加账户接管场景的影响。 严重性 CVSS v4 base metrics - Severity: High (8.7/10) - Attack Vector: Network - Attack Complexity: Low - Attack Requirements: None - Privileges Required: Low - User interaction: None - Vulnerable System Impact Metrics: - Confidentiality: High - Integrity: High - Availability: High - Subsequent System Impact Metrics: - Confidentiality: None - Integrity: None - Availability: None CVE ID CVE-2025-66289 弱点 无 CWE