PT-2021-18532 · Ibm · Ibm Transformation Extender Advanced
Publicado
2021-10-21
·
Atualizado
2022-07-12
·
CVE-2021-29883
CVSS v2.0
4.3
Média
| Vetor | AV:N/AC:M/Au:N/C:P/I:N/A:N |
Nome do software vulnerável e versões afetadas
IBM Transformation Extender Advanced, versões 9.0 a 10.0
Descrição
O problema ocorre porque o atributo “secure” não está definido nos tokens de autorização ou nos cookies de sessão. Isso permite que invasores possam obter os valores dos cookies enviando um link HTTP ao usuário ou incorporando tal link em um site que o usuário visite. O cookie é enviado para o link não seguro, e o invasor pode então espionar o tráfego para obter o valor do cookie.
Recomendações
Para as versões 9.0 e 10.0, certifique-se de que o atributo de segurança esteja definido nos tokens de autorização e nos cookies de sessão para impedir que sejam enviados por conexões não seguras.
No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
Missing Encryption of Sensitive Data
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Ibm Transformation Extender Advanced