CVE-2026-1842

HyperCloud versions 2.3.5 through 2.6.8 improperly allowed refresh tokens to be used directly for resource access and failed to invalidate previously issued access tokens when a refresh token was used. Because refresh tokens have a significantly longer lifetime (default one year), an authenticated client could use a refresh token in place of an access token to maintain long-term access without token rotation. Additionally, old access tokens remained valid after refresh, enabling concurrent or extended use beyond intended session boundaries. This vulnerability could allow prolonged unauthorized access if a token is disclosed.

CVSS

No CVSS.

References

Link	Resource
https://advisories.softiron.cloud/

Configurations

No configuration.

History

15 Apr 2026, 00:35

Type	Values Removed	Values Added
Summary		(es) Las versiones 2.3.5 a 2.6.8 de HyperCloud permitieron indebidamente que los tokens de actualización se usaran directamente para el acceso a recursos y no invalidaron los tokens de acceso emitidos previamente cuando se usaba un token de actualización. Debido a que los tokens de actualización tienen una vida útil significativamente más larga (un año por defecto), un cliente autenticado podría usar un token de actualización en lugar de un token de acceso para mantener un acceso a largo plazo sin rotación de tokens. Además, los tokens de acceso antiguos permanecieron válidos después de la actualización, lo que permitía un uso concurrente o extendido más allá de los límites de sesión previstos. Esta vulnerabilidad podría permitir un acceso no autorizado prolongado si un token es revelado.

20 Feb 2026, 17:25

Type	Values Removed	Values Added
New CVE

Information

Published : 2026-02-20 17:25

Updated : 2026-04-15 00:35

NVD link : CVE-2026-1842

Mitre link : CVE-2026-1842

CVE.ORG link : CVE-2026-1842

JSON object : View

Products Affected

No product.

CWE

CWE-613

Insufficient Session Expiration

{"id": "CVE-2026-1842", "cveTags": [], "metrics": {"cvssMetricV40": [{"type": "Secondary", "source": "0a72a055-908d-47f5-a16a-1f09049c16c6", "cvssData": {"Safety": "NOT_DEFINED", "version": "4.0", "Recovery": "NOT_DEFINED", "baseScore": 6.2, "Automatable": "NOT_DEFINED", "attackVector": "NETWORK", "baseSeverity": "MEDIUM", "valueDensity": "NOT_DEFINED", "vectorString": "CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:N/VC:H/VI:H/VA:N/SC:N/SI:N/SA:N/E:U/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X", "exploitMaturity": "UNREPORTED", "providerUrgency": "NOT_DEFINED", "userInteraction": "NONE", "attackComplexity": "LOW", "attackRequirements": "NONE", "privilegesRequired": "LOW", "subIntegrityImpact": "NONE", "vulnIntegrityImpact": "HIGH", "integrityRequirement": "NOT_DEFINED", "modifiedAttackVector": "NOT_DEFINED", "subAvailabilityImpact": "NONE", "vulnAvailabilityImpact": "NONE", "availabilityRequirement": "NOT_DEFINED", "modifiedUserInteraction": "NOT_DEFINED", "modifiedAttackComplexity": "NOT_DEFINED", "subConfidentialityImpact": "NONE", "vulnConfidentialityImpact": "HIGH", "confidentialityRequirement": "NOT_DEFINED", "modifiedAttackRequirements": "NOT_DEFINED", "modifiedPrivilegesRequired": "NOT_DEFINED", "modifiedSubIntegrityImpact": "NOT_DEFINED", "modifiedVulnIntegrityImpact": "NOT_DEFINED", "vulnerabilityResponseEffort": "NOT_DEFINED", "modifiedSubAvailabilityImpact": "NOT_DEFINED", "modifiedVulnAvailabilityImpact": "NOT_DEFINED", "modifiedSubConfidentialityImpact": "NOT_DEFINED", "modifiedVulnConfidentialityImpact": "NOT_DEFINED"}}]}, "published": "2026-02-20T17:25:50.780", "references": [{"url": "https://advisories.softiron.cloud/", "source": "0a72a055-908d-47f5-a16a-1f09049c16c6"}], "vulnStatus": "Deferred", "weaknesses": [{"type": "Secondary", "source": "0a72a055-908d-47f5-a16a-1f09049c16c6", "description": [{"lang": "en", "value": "CWE-613"}]}], "descriptions": [{"lang": "en", "value": "HyperCloud versions 2.3.5 through 2.6.8 improperly allowed refresh tokens to be used directly for resource access and failed to invalidate previously issued access tokens when a refresh token was used. Because refresh tokens have a significantly longer lifetime (default one year), an authenticated client could use a refresh token in place of an access token to maintain long-term access without token rotation. Additionally, old access tokens remained valid after refresh, enabling concurrent or extended use beyond intended session boundaries. This vulnerability could allow prolonged unauthorized access if a token is disclosed."}, {"lang": "es", "value": "Las versiones 2.3.5 a 2.6.8 de HyperCloud permitieron indebidamente que los tokens de actualizaci\u00f3n se usaran directamente para el acceso a recursos y no invalidaron los tokens de acceso emitidos previamente cuando se usaba un token de actualizaci\u00f3n. Debido a que los tokens de actualizaci\u00f3n tienen una vida \u00fatil significativamente m\u00e1s larga (un a\u00f1o por defecto), un cliente autenticado podr\u00eda usar un token de actualizaci\u00f3n en lugar de un token de acceso para mantener un acceso a largo plazo sin rotaci\u00f3n de tokens. Adem\u00e1s, los tokens de acceso antiguos permanecieron v\u00e1lidos despu\u00e9s de la actualizaci\u00f3n, lo que permit\u00eda un uso concurrente o extendido m\u00e1s all\u00e1 de los l\u00edmites de sesi\u00f3n previstos. Esta vulnerabilidad podr\u00eda permitir un acceso no autorizado prolongado si un token es revelado."}], "lastModified": "2026-04-15T00:35:42.020", "sourceIdentifier": "0a72a055-908d-47f5-a16a-1f09049c16c6"}