PT-2020-7598 · Cgilua · Cgilua
Publicado
2020-02-06
·
Atualizado
2020-02-11
·
CVE-2014-10399
CVSS v2.0
4.3
Média
| Vetor | AV:N/AC:M/Au:N/C:N/I:P/A:N |
Nome do software vulnerável e versões afetadas
CGILua versões 5.1.x
Descrição
A biblioteca session.lua utiliza o mesmo ID para cada sessão, permitindo que invasores remotos sequestrem sessões arbitrárias.
Recomendações
Para as versões 5.1.x do CGILua, considere implementar um mecanismo de geração de IDs de sessão exclusivos para impedir o sequestro de sessões. Como solução temporária, restrinja o acesso a áreas confidenciais do aplicativo para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
Session Fixation
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Cgilua