PT-2021-16867 · Arangodb · Arangodb
Publicado
2021-11-16
·
Atualizado
2025-03-10
·
CVE-2021-25940
CVSS v3.1
8.8
Alta
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Versões do ArangoDB de v3.7.6 a v3.8.3
Descrição
O problema está relacionado à expiração insuficiente da sessão. Quando a senha de um usuário é alterada pelo administrador, a sessão não é invalidada, permitindo que um usuário mal-intencionado permaneça conectado e execute ações arbitrárias no sistema.
Recomendações
Para as versões do ArangoDB v3.7.6 a v3.8.3, considere invalidar as sessões dos usuários após uma alteração de senha pelo administrador como uma solução temporária até que um patch esteja disponível.
Correção
Insufficient Session Expiration
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Arangodb