PT-2021-16903 · Unknown · Apostrophe Cms
Daniel Elkabes
·
Publicado
2021-11-08
·
Atualizado
2022-08-10
·
CVE-2021-25979
CVSS v3.1
9.8
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Versões do Apostrophe CMS anteriores à 3.3.1
Descrição
A vulnerabilidade permite que invasores remotos não autenticados sequestrem as sessões de usuários que tenham feito login recentemente, devido a um prazo de expiração insuficiente da sessão. Isso pode ocorrer quando um dispositivo é comprometido por terceiros e não é possível bloquear o acesso desativando a conta do usuário ou alterando a senha.
Recomendações
Para versões anteriores à 3.3.1, como medida de mitigação, a conta de usuário em questão pode ser arquivada (para versões 3.x) ou movida para a lixeira (para versões 2.x e anteriores), o que desativa a sessão existente.
Para versões 3.x, arquive a conta de usuário para desativar a sessão existente.
Para versões 2.x e anteriores, mova a conta de usuário para a lixeira para desativar a sessão existente.
Correção
Insufficient Session Expiration
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Apostrophe Cms