| CVE ID | CVE-2025-4643 |
| Data publikacji | 29 sierpnia 2025 |
| Producent podatnego oprogramowania | Payload CMS |
| Nazwa podatnego oprogramowania | Payload |
| Podatne wersje | Wszystkie poniżej 3.44.0 |
| Typ podatności (CWE) | Insufficient Session Expiration (CWE-613) |
| Źródło zgłoszenia | Zgłoszenie do CERT Polska |
| CVE ID | CVE-2025-4644 |
| Data publikacji | 29 sierpnia 2025 |
| Producent podatnego oprogramowania | Payload CMS |
| Nazwa podatnego oprogramowania | Payload |
| Podatne wersje | Wszystkie poniżej 3.44.0 |
| Typ podatności (CWE) | Session Fixation (CWE-384) |
| Źródło zgłoszenia | Zgłoszenie do CERT Polska |
Opis podatności
CERT Polska otrzymał zgłoszenie o podatnościach w oprogramowaniu Payload CMS i koordynował proces ujawniania informacji.
Podatność CVE-2025-4643: Payload wykorzystuje JSON Web Tokens (JWT) do uwierzytelniania. Po wylogowaniu token JWT nie jest unieważniany, co umożliwia atakującemu, który go przechwycił lub ukradł, ponowne jego użycie aż do momentu wygaśnięcia (domyślnie po 2 godzinach, choć czas ten można zmienić).
Podatność CVE-2025-4644: W adapterze SQLite oprogramowania Payload występowała podatność typu Session Fixation, wynikająca z ponownego użycia identyfikatora podczas tworzenia konta. Złośliwy atakujący mógł utworzyć nowe konto, zapisać jego token JWT, a następnie je usunąć — co nie powodowało unieważnienia tokena. W rezultacie kolejny nowo utworzony użytkownik otrzymywał ten sam identyfikator, co umożliwiało atakującemu ponowne użycie JWT do uwierzytelnienia i wykonywania działań jako ten użytkownik.
Oba problemy zostały naprawione w wersji 3.44.0 Payload.
Podziękowania
Za zgłoszenie podatności dziękujemy Arkadiuszowi Marcie.
Więcej o procesie zgłaszania podatności można przeczytać na stronie https://cert.pl/cvd/.