PT-2020-17896 · Ibm · Ibm Guardium Activity Insights
Chris Shepherd
+7
·
Publicado
2020-07-09
·
Atualizado
2020-07-17
·
CVE-2020-4173
CVSS v3.1
4.3
Média
| Vetor | AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:N |
Nome do software vulnerável e versões afetadas
IBM Guardium Activity Insights, versões 10.6 a 11.0
Descrição
A vulnerabilidade permite que invasores obtenham valores de cookies enviando um link HTTP a um usuário ou inserindo esse link em um site visitado pelo usuário. O cookie será enviado para o link não seguro, e o invasor poderá então obter o valor do cookie ao interceptar o tráfego. Isso é possível porque o atributo secure não está definido nos tokens de autorização ou nos cookies de sessão.
Recomendações
Para as versões 10.6 e 11.0, defina o atributo secure nos tokens de autorização ou nos cookies de sessão para impedir que invasores obtenham valores de cookies.
No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Ibm Guardium Activity Insights