CVE-2021-25979

Apostrophe CMS versions between 2.63.0 to 3.3.1 affected by an insufficient session expiration vulnerability, which allows unauthenticated remote attackers to hijack recently logged-in users' sessions. As a mitigation for older releases the user account in question can be archived (3.x) or moved to the trash (2.x and earlier) which does disable the existing session.

Apostrophe CMS versions between 2.63.0 to 3.3.1 affected by an insufficient session expiration vulnerability, which allows unauthenticated remote attackers to hijack recently logged-in users' sessions. As a mitigation for older releases the user account in question can be archived (3.x) or moved to the trash (2.x and earlier) which does disable the existing session.

Las versiones de Apostrophe CMS anteriores a la 3.3.1 no invalidaban las sesiones de inicio de sesión existentes cuando se deshabilitaba una cuenta de usuario o se cambiaba la contraseña, creando una situación en la que un dispositivo comprometido por un tercero no podía ser bloqueado por esos medios. Como mitigación para las versiones anteriores, la cuenta de usuario en cuestión puede ser archivada (3.x) o movida a la papelera (2.x y anteriores), lo que desactiva la sesión existente