以下是关于漏洞的关键信息: Summary 漏洞标题: Weak Password Policy Combined with Persistent Sessions After Password Change CVE ID: CVE-2026-27575 CVSS v3 Severity: Critical (9.1/10) 受影响版本: <=v1.1.0 修复版本: v2.0.0 描述 摘要: - 应用程序允许用户设置弱密码(例如:1234, password)而没有强制执行最低强度要求。 - 用户更改密码后,活动会话仍然有效。 详细信息: 1. 注册和密码更改时接受弱密码。 2. 没有强制执行最长度或强度验证。 3. 更改密码后,之前颁发的会话令牌仍然有效。 4. 活动会话中未强制注销。 攻击场景: - 攻击者猜测或获得弱凭据。 - 登录并获得活动会话令牌。 - 受害者更改密码。 - 攻击者继续使用旧会话访问账户。 冲击 持久的账户接管 对敏感数据的未授权访问 或破译成功的概率增加 提高了对行政账户的风险 推荐措施 密码策略改进: - 强制执行强密码策略 - 要求密码为8-16+字符,包含大小写字母、数字和特殊字符。 - 阻止常用密码 - 使用常用和泄露密码的黑名单。 - 使用安全哈希 - 存储使用强盐来散列的密码,如bcrypt或Argon2。 - 启用账户锁定 - 限制失败的登录尝试,减少暴力破解的风险。 - 教育用户 - 促进强密码练习和网络钓鱼意识。 会话管理修复: - 在密码更改时使所有活动会话无效 - 撤销刷新令牌(如果适用) - 实施令牌/会话版本控制 - 在凭据更新后重新生成会话ID - 记录并通知用户密码更改事件 后果 弱密码控制与不当的会话无效化结合,显著增加了可利用性和影响。