PT-2020-18231 · Ibm · Ibm Sterling File Gateway
Publicado
2020-11-16
·
Atualizado
2020-11-23
·
CVE-2020-4763
CVSS v2.0
4.3
Média
| Vetor | AV:N/AC:M/Au:N/C:P/I:N/A:N |
Nome do software vulnerável e versões afetadas
IBM Sterling File Gateway, versões 2.2.0.0 a 2.2.6.5
IBM Sterling File Gateway, versões 6.0.0.0 a 6.0.3.2
Descrição
O problema ocorre porque o software não define o atributo de segurança em tokens de autorização ou cookies de sessão. Isso permite que invasores possam obter valores de cookies enviando um link http ao usuário ou inserindo esse link em um site que o usuário visite. O cookie será enviado para o link não seguro, e o invasor poderá então obter o valor do cookie ao interceptar o tráfego.
Recomendações
Para as versões 2.2.0.0 a 2.2.6.5, considere atualizar para uma versão que defina o atributo de segurança em tokens de autorização ou cookies de sessão.
Para as versões 6.0.0.0 a 6.0.3.2, considere atualizar para uma versão que defina o atributo de segurança em tokens de autorização ou cookies de sessão.
Como solução alternativa temporária, considere restringir o acesso a informações confidenciais até que um patch esteja disponível.
Correção
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Ibm Sterling File Gateway