CVE-2026-57997
ŚrednieCVSS 4.8Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 4 — wyżej niż 4% wszystkich znanych CVE
Streszczenie
Wtyczka users-permissions w Strapi nie ogranicza algorytmów JWT, gdy parametr plugin::users-permissions.jwt.algorithm nie jest jawnie skonfigurowany, co pozwala na akceptację tokenów HS384 i HS512 obok domyślnego HS256. Atakujący posiadający jwtSecret może tworzyć tokeny z niestandardowymi wariantami HMAC, omijając ograniczenia algorytmów i osłabiając kontrolę uwierzytelniania.
Ocena ryzyka
Organizacja narażona jest na ryzyko nieautoryzowanego dostępu do systemu Strapi poprzez fałszywe tokeny JWT, co może prowadzić do przejęcia kont użytkowników i eskalacji uprawnień.
Rekomendacja
Należy jawnie skonfigurować parametr plugin::users-permissions.jwt.algorithm na bezpieczny algorytm (np. RS256) oraz zaktualizować wtyczkę users-permissions do najnowszej wersji zawierającej poprawkę.
Oryginalny opis (angielski, źródło NVD)
Strapi users-permissions plugin fails to restrict JWT algorithms when plugin::users-permissions.jwt.algorithm is not explicitly configured, allowing acceptance of HS384 and HS512 tokens alongside HS256. Attackers possessing the jwtSecret can mint tokens with non-standard HMAC variants to bypass algorithm restrictions and weaken authentication controls.

