PT-2020-16792 · Citadel · Citadel Webcit
Publicado
2020-10-28
·
Atualizado
2020-11-04
·
CVE-2020-27739
CVSS v3.1
9.8
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Versões do Citadel WebCit anteriores à 926
Descrição
Uma falha na gestão de sessões permite que invasores remotos não autenticados sequestrem as sessões de usuários que tenham feito login recentemente. Isso foi relatado ao fornecedor em um tópico arquivado publicamente intitulado “Várias vulnerabilidades de segurança no WebCit 926”.
Recomendações
Para versões do Citadel WebCit anteriores à 926, considere restringir temporariamente a funcionalidade de gerenciamento de sessão até que um patch esteja disponível.
Como solução alternativa temporária, restrinja o acesso a recursos relacionados à sessão para minimizar o risco de exploração.
Evite usar parâmetros relacionados à sessão em pontos de extremidade da API afetados até que o problema seja resolvido.
No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.
Exploit
Insufficient Session Expiration
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Citadel Webcit