PT-2020-11023 · Ibm · Ibm Security Guardium Data Encryption
Publicado
2020-08-26
·
Atualizado
2021-07-21
·
CVE-2019-4686
CVSS v3.1
5.3
Média
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N |
Nome do software vulnerável e versões afetadas
IBM Security Guardium Data Encryption (GDE) versão 3.0.0.2
Descrição
A vulnerabilidade permite que invasores obtenham valores de cookies enviando um link HTTP a um usuário ou inserindo esse link em um site visitado pelo usuário. O cookie será enviado para o link não seguro, e o invasor poderá então obter o valor do cookie ao interceptar o tráfego. Isso é possível porque o atributo de segurança não está definido nos tokens de autorização ou nos cookies de sessão.
Recomendações
Para a versão 3.0.0.2, considere definir o atributo “secure” em tokens de autorização ou cookies de sessão para impedir que sejam enviados por links não seguros. Como solução temporária, restrinja o acesso a informações confidenciais que possam ser acessadas usando os valores dos cookies até que uma correção adequada seja aplicada. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
Missing Encryption of Sensitive Data
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Ibm Security Guardium Data Encryption