漏洞概述 该漏洞涉及在令牌轮换(token rotation)时,未撤销活跃会话的问题。具体表现为: 在令牌轮换后,旧令牌的活跃会话未被正确撤销,导致潜在的安全风险。 该问题影响了多个组件,包括设备令牌、网关/设备令牌、网关/设备令牌、网关/附件等。 影响范围 设备令牌:在令牌轮换后,旧令牌的活跃会话未被撤销。 网关/设备令牌:在令牌轮换后,旧令牌的活跃会话未被撤销。 网关/设备令牌:在令牌轮换后,旧令牌的活跃会话未被撤销。 网关/附件:在处理大尺寸图像时,未正确清理临时文件,可能导致资源泄露。 修复方案 1. 设备令牌: - 在令牌轮换后,立即撤销旧令牌的活跃会话。 - 代码示例: 2. 网关/设备令牌: - 在令牌轮换后,立即撤销旧令牌的活跃会话。 - 代码示例: 3. 网关/设备令牌: - 在令牌轮换后,立即撤销旧令牌的活跃会话。 - 代码示例: 4. 网关/附件: - 在处理大尺寸图像时,正确清理临时文件。 - 代码示例: 总结 该漏洞主要涉及在令牌轮换时未正确撤销活跃会话的问题,影响了多个组件。修复方案包括在令牌轮换后立即撤销旧令牌的活跃会话,并在处理大尺寸图像时正确清理临时文件。