CVE-2019-4688

IBM Security Guardium Data Encryption (GDE) versão 3.0.0.2

A vulnerabilidade permite que invasores obtenham valores de cookies enviando um link HTTP a um usuário ou inserindo esse link em um site visitado pelo usuário. O cookie será enviado para o link não seguro, e o invasor poderá então obter o valor do cookie ao interceptar o tráfego. Isso é possível porque o atributo de segurança não está definido nos tokens de autorização ou nos cookies de sessão.

Para a versão 3.0.0.2, considere definir o atributo “secure” em tokens de autorização ou cookies de sessão para impedir que sejam enviados por links não seguros. Como solução temporária, restrinja o acesso a informações confidenciais que possam ser acessadas usando os valores dos cookies até que uma correção adequada seja aplicada. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.