Kartik Patel

**Nome do software vulnerável e versões afetadas** Silverstripe silverstripe/framework versões 4.10 e anteriores **Descrição** A vulnerabilidade permite a fixação de sessão, em que IDs de sessão ainda válidas de usuários que já se desconectaram podem continuar sendo usadas para fazer solicitações autenticadas quando o módulo hybridsessions é utilizado sem o módulo session-manager instalado e os IDs de sessão são salvos no disco. **Recomendações** Para as versões 4.10 e anteriores do Silverstripe silverstripe/framework, considere desativar o módulo hybridsessions até que um patch esteja disponível ou certifique-se de que o módulo session-manager esteja instalado para mitigar o risco de fixação de sessão. Restrinja o acesso aos IDs de sessão salvos em disco para minimizar o risco de exploração.