PT-2020-18795 · Nginx · Nginx Controller
Publicado
2020-05-07
·
Atualizado
2020-05-12
·
CVE-2020-5894
CVSS v3.1
8.1
Alta
| Vetor | AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:N |
Nome do software vulnerável e versões afetadas
NGINX Controller, versões 3.0.0 a 3.3.0
Descrição
O problema diz respeito ao servidor web NGINX Controller, que não invalida o token de sessão do lado do servidor após o logout dos usuários. Esse problema pode potencialmente levar a acesso não autorizado.
Recomendações
Para as versões 3.0.0 a 3.3.0, considere implementar uma solução alternativa para invalidar manualmente os tokens de sessão após o logout do usuário até que uma correção adequada esteja disponível.
No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
Session Fixation
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Nginx Controller