PT-2020-3628 · Davical+2 · Davical Andrew'S Web Libraries+2
Andrew Bartlett
·
Publicado
2020-04-15
·
Atualizado
2020-09-28
·
CVE-2020-11728
CVSS v2.0
7.8
Alta
| Vetor | AV:N/AC:L/Au:N/C:C/I:N/A:N |
Nome do software vulnerável e versões afetadas
DAViCal Andrew's Web Libraries (AWL) até a versão 0.60
Descrição
A vulnerabilidade diz respeito a um problema no gerenciamento de sessões no DAViCal Andrew's Web Libraries (AWL), em que a chave de sessão não é suficientemente difícil de adivinhar. Isso permite que um invasor possa se passar por uma sessão se conseguir adivinhar o tempo em microssegundos e o session id incremental. A vulnerabilidade pode permitir que um invasor remoto acesse dados confidenciais.
Recomendações
Para versões até a 0.60, considere implementar medidas de segurança adicionais para proteger o gerenciamento de sessões, como o uso de chaves de sessão mais seguras ou a implementação de limitação de taxa para impedir a adivinhação por força bruta de IDs de sessão.
No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.
Session Fixation
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Davical Andrew'S Web Libraries
Linuxmint
Ubuntu