PT-2021-12135 · Ibm · Ibm Security Guardium Insights
Publicado
2021-01-13
·
Atualizado
2021-07-21
·
CVE-2020-4597
CVSS v3.1
4.3
Média
| Vetor | AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:N |
Nome do software vulnerável e versões afetadas
IBM Security Guardium Insights versão 2.0.2
Descrição
A vulnerabilidade permite que invasores obtenham valores de cookies ao direcionar um usuário para um link não seguro ou ao inserir tal link em um site visitado pelo usuário. Isso é possível porque o atributo “secure” não está definido nos tokens de autorização ou nos cookies de sessão. Como resultado, o cookie será enviado para o link não seguro, e o invasor poderá então obter o valor do cookie ao interceptar o tráfego.
Recomendações
Para o IBM Security Guardium Insights versão 2.0.2, certifique-se de que o atributo “secure” esteja definido nos tokens de autorização ou nos cookies de sessão para impedir que sejam enviados por links não seguros. Considere implementar medidas de segurança adicionais para proteger contra a interceptação de cookies e o acesso não autorizado.
Correção
Cleartext Transmission of Sensitive Information
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Ibm Security Guardium Insights