PT-2020-6208 · Php Fusion · Php-Fusion
Songohan22
·
Publicado
2020-05-11
·
Atualizado
2021-07-06
·
CVE-2020-23178
CVSS v2.0
5.5
Média
| Vetor | AV:N/AC:L/Au:S/C:P/I:P/A:N |
Nome do software vulnerável e versões afetadas
PHP-Fusion versão 9.03.50
Descrição
A falha no PHP-Fusion permite que um invasor realize um ataque de repetição de sessão e se faça passar pelo usuário vítima, pois os cookies de sessão não são excluídos após o usuário encerrar a sessão. Isso pode levar ao acesso não autorizado a informações protegidas. A vulnerabilidade está relacionada à contornagem do procedimento de autenticação.
Recomendações
Para o PHP-Fusion versão 9.03.50, certifique-se de que os cookies de sessão sejam excluídos corretamente após o usuário sair da conta, a fim de evitar ataques de repetição de sessão. Como solução temporária, considere implementar um mecanismo personalizado de destruição de sessão para mitigar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.
Exploit
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Php-Fusion