🔐 ช่องโหว่ Memos ทำให้ผู้โจมตีอยู่ในระบบแม้เปลี่ยนรหัสผ่าน ทีมพัฒนา Memos ซึ่งเป็นแพลตฟอร์ม knowledge base แบบ self-hosted ได้ออกประกาศเตือนเกี่ยวกับช่องโหว่ CVE-2024-21635 ที่มีความรุนแรงสูง (CVSS 7.1) โดยปัญหานี้เกิดจากการที่ระบบ ไม่ยกเลิก Access Tokens หลังจากผู้ใช้เปลี่ยนรหัสผ่าน ส่งผลให้ผู้โจมตีที่มี token อยู่แล้วสามารถเข้าถึงบัญชีต่อไปได้แม้เจ้าของบัญชีจะทำการ reset password การทดสอบ Proof of Concept (PoC) แสดงให้เห็นว่า หากผู้ใช้ล็อกอินจากสองอุปกรณ์ แล้วเปลี่ยนรหัสผ่านจากอุปกรณ์หนึ่ง อีกอุปกรณ์ยังคงสามารถใช้งานบัญชีได้ตามปกติ ซึ่งขัดกับมาตรฐานความปลอดภัยทั่วไปที่คาดว่าการเปลี่ยนรหัสผ่านจะทำให้ทุก session ถูกยกเลิกทันที สิ่งที่ทำให้สถานการณ์เลวร้ายลงคือ รายการ Access Tokens ไม่มีรายละเอียดที่ชัดเจน ทำให้ผู้ใช้ยากต่อการตรวจสอบว่า token ใดเป็นของผู้โจมตี และไม่สามารถ pinpoint ได้ว่าใครยังคงมีสิทธิ์เข้าถึงอยู่ ช่องโหว่นี้ส่งผลกระทบต่อ ทุกเวอร์ชันจนถึง v0.18.1 โดยทีม Memos ได้แก้ไขใน v0.25.2 ซึ่งบังคับให้ Access Tokens ทั้งหมดถูกยกเลิกเมื่อมีการเปลี่ยนรหัสผ่าน เพื่อให้ผู้ใช้ต้องล็อกอินใหม่ทุกครั้ง และป้องกันการเข้าถึงที่ไม่ได้รับอนุญาต 📌 สรุปประเด็นสำคัญ ✅ รายละเอียดช่องโหว่ CVE-2024-21635 ➡️ ระบบไม่ยกเลิก Access Tokens หลังจากเปลี่ยนรหัสผ่าน ➡️ ผู้โจมตีที่มี token อยู่แล้วสามารถเข้าถึงบัญชีต่อไปได้ ✅ Proof of Concept ➡️ ล็อกอินจากสองอุปกรณ์ ➡️ เปลี่ยนรหัสผ่านจากอุปกรณ์หนึ่ง อีกอุปกรณ์ยังคงใช้งานได้ ✅ การแก้ไข ➡️ แก้ไขในเวอร์ชัน v0.25.2 ➡️ บังคับให้ Access Tokens ถูกยกเลิกทุกครั้งที่เปลี่ยนรหัสผ่าน ‼️ คำเตือนและความเสี่ยง ⛔ ผู้โจมตีสามารถคงการเข้าถึงแม้ผู้ใช้จะเปลี่ยนรหัสผ่าน ⛔ รายการ Access Tokens ไม่มีรายละเอียด ทำให้ตรวจสอบยาก ⛔ ผู้ใช้ที่ยังใช้เวอร์ชันเก่าเสี่ยงต่อการถูกเข้ายึดบัญชี https://securityonline.info/high-severity-memos-flaw-cve-2024-21635-allows-hackers-to-stay-logged-in-after-password-change/