PT-2020-13951 · Ibm · Bigfix Inventory
Publicado
2020-12-16
·
Atualizado
2020-12-23
·
CVE-2020-14248
CVSS v3.1
5.3
Média
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N |
Nome do software vulnerável e versões afetadas
Versões do BigFix Inventory até a 10.0.2
Descrição
O problema está relacionado ao fato de o BigFix Inventory não definir o sinalizador de segurança para o cookie de sessão em uma sessão HTTPS. Isso pode fazer com que o cookie seja enviado em solicitações HTTP, facilitando a captura do cookie por invasores remotos.
Recomendações
Para versões do BigFix Inventory até a 10.0.2, considere atualizar para uma versão que defina o sinalizador de segurança para o cookie de sessão, a fim de impedir que ele seja enviado em solicitações http. Como solução alternativa temporária, restrinja o acesso a informações confidenciais que possam ser comprometidas caso o cookie de sessão seja capturado.
Correção
Cleartext Transmission of Sensitive Information
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Bigfix Inventory