漏洞概述 标题: 停用账户时未撤销现有登录令牌 描述: Rocket.Chat 8.2.0 允许通过 停用的用户继续使用已发布的登录令牌。即使管理员将用户标记为不活跃,用户仍可以使用旧令牌访问经过身份验证的 REST 端点。 影响范围 受影响版本: - <8.4.2, <8.3.4, <8.2.4, <8.1.5, 8.5.0, 8.4.2, 8.3.4, 8.2.4, 8.1.5, <8.0.6, <7.13.8, <7.10.12 修复版本: - 8.0.6, 7.13.8, 7.10.12 修复方案 修复版本: 升级到 8.0.6, 7.13.8, 7.10.12 或更高版本。 POC 代码 影响 这是一个会话撤销流中的社区服务器漏洞。管理员的闲置停用实际上并未终止现有的经过身份验证的会话,因此停用后的用户仍然保留 API 访问权限,直到令牌被单独移除。