PT-2021-16908 · Factor · Factor
Publicado
2021-11-16
·
Atualizado
2021-11-19
·
CVE-2021-25985
CVSS v3.1
9.8
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Factor (App Framework & Headless CMS), versões 1.0.4 a 1.8.30
Descrição
O problema decorre da invalidação inadequada da sessão após o usuário fazer logout, combinada com o armazenamento das sessões do usuário no armazenamento local do navegador, que não possui um prazo de validade por padrão. Isso permite que um invasor possa roubar e reutilizar cookies por meio de técnicas como ataques XSS, levando à apropriação da conta local.
Recomendações
Para as versões 1.0.4 a 1.8.30, considere implementar a invalidação adequada da sessão após o logout do usuário e definir um prazo de validade para as sessões armazenadas no armazenamento local, a fim de mitigar o risco de reutilização da sessão. Como solução temporária, restrinja o acesso a áreas confidenciais do aplicativo que dependem de autenticação baseada em sessão até que uma correção mais permanente possa ser aplicada.
Correção
Insufficient Session Expiration
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Factor