PT-2020-3629 · Davical · Davical Andrew'S Web Libraries
Andrew Bartlett
·
Publicado
2020-04-15
·
Atualizado
2020-08-18
·
CVE-2020-11729
CVSS v2.0
10
Crítica
| Vetor | AV:N/AC:L/Au:N/C:C/I:C/A:C |
Nome do software vulnerável e versões afetadas
DAViCal Andrew's Web Libraries (AWL) até a versão 0.60
Descrição
Uma falha no DAViCal Andrew's Web Libraries (AWL) permite um ataque de força bruta devido à geração insegura de cookies de sessão de longo prazo, utilizados para garantir a continuidade da sessão. Isso poderia permitir que um invasor remoto acessasse dados confidenciais, comprometesse a integridade dos dados e causasse uma negação de serviço.
Recomendações
Para versões até a 0.60, como solução temporária, considere implementar medidas de segurança adicionais para proteger contra ataques de força bruta em cookies de sessão de longo prazo até que um método seguro de geração desses cookies seja implementado.
No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
Exploit
Session Fixation
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Davical Andrew'S Web Libraries