漏洞总结 漏洞概述 CVE编号: CVE-2026-1163 漏洞类型: CWE-613: Insufficient Session Expiration (会话过期不足) 描述: 网站允许攻击者重用旧的会话凭据或会话ID。在此案例中,当用户更改密码后,会话并未随之过期。 严重程度: Medium (4.1) 影响范围 受影响版本: Latest (最新版本) 具体影响: 如果攻击者已经攻陷了账户,受害者无法撤销攻击者的访问权限。 根本原因 (Occurrences): 1. session.py (L98): 代码实现了“心跳”机制来更新 ,但未能验证它。只要JWT有效,会话就会无限期保持活动状态,从而抵消了活动监控的安全效益。 2. config.py (L126): 默认配置将 设置为 44,640 分钟(31天)。这个过长的TTL(生存时间)违反了最小权限原则,允许攻击者在一个月内无需重新认证即可保持持久访问。 修复方案 根据报告底部的评论 "Legit. I'll fix that in next release",开发者已确认该问题并计划在下一个版本中修复。 修复方向应涉及缩短 的默认值,并改进 中的心跳验证逻辑,确保密码重置能强制使旧会话失效。 Proof of Concept (POC)**