PT-2020-19136 · Sap · Sap Commerce Cloud
Publicado
2020-10-15
·
Atualizado
2020-10-19
·
CVE-2020-6363
CVSS v2.0
4.9
Média
| Vetor | AV:N/AC:M/Au:S/C:P/I:P/A:N |
Nome do software vulnerável e versões afetadas
SAP Commerce Cloud versões 1808, 1811, 1905, 2005
Descrição
A vulnerabilidade permite que um invasor reutilize credenciais de sessão antigas devido à expiração insuficiente da sessão. Isso ocorre porque a alteração da senha de um usuário não invalida as sessões ativas com os aplicativos web do SAP Commerce Cloud. As sessões são estabelecidas após o usuário se autenticar com as credenciais
username e passphrase.Recomendações
Para as versões 1808, 1811, 1905 e 2005 do SAP Commerce Cloud, considere implementar um mecanismo para invalidar todas as sessões ativas quando um usuário alterar sua senha, como uma solução temporária para minimizar o risco de exploração.
No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
Insufficient Session Expiration
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Sap Commerce Cloud