CVE-2026-25700

Apache Answer: AdminToken not invalidated after admin deactivation

CVSS 7.2 HIGHEPSS 0.4%CWE-1259

En resumen

Cuando una cuenta de administrador se desactiva o se elimina en Apache Answer, sus tokens de seguridad siguen siendo válidos y pueden usarse para acceder a funciones administrativas. Esto significa que un administrador anterior podría mantener acceso incluso después de ser removido.

Detalle técnico

Apache Answer no invalida tokens administrativos previamente emitidos cuando una cuenta de administrador se suspende, se elimina o se desactiva (CWE-1259: Restricción Impropia de Asignación de Token de Seguridad). Un atacante que posea un token admin válido de una cuenta desactivada puede seguir accediendo a APIs administrativas hasta la expiración natural del token, eludiendo la revocación de acceso prevista.

Resumen generado y traducido por IA a partir de la descripción oficial.

Improper Restriction of Security Token Assignment vulnerability in Apache Answer. This issue affects Apache Answer: through 2.0.0. Previously issued administrative tokens were not invalidated after an administrator account was suspended, deleted, or deactivated, allowing continued access to administrative APIs until the token expired. Users are recommended to upgrade to version 2.0.1, which fixes the issue.

CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H

Productos afectados

Apache Software Foundation · Apache Answer

¿Quieres saber si tu infraestructura está expuesta a esto?

Hablar con TrueHacking →

Referencias

https://lists.apache.org/thread/ftw52mlxknjm29vo1mnqovj53z2kh96y http://www.openwall.com/lists/oss-security/2026/06/10/10