PT-2021-21564 · Digi · Digi Transport Gateway
Publicado
2021-12-10
·
Atualizado
2021-12-14
·
CVE-2021-37189
CVSS v3.1
7.5
Alta
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N |
Nome do software vulnerável e versões afetadas
Dispositivos Digi TransPort Gateway até a versão 5.2.13.4
Descrição
Foi identificada uma falha pela qual os dispositivos não definem o atributo “Secure” para cookies confidenciais em sessões HTTPS. Isso pode fazer com que o agente do usuário envie esses cookies em texto simples durante uma sessão HTTP.
Recomendações
Para dispositivos Digi TransPort Gateway até a versão 5.2.13.4, considere atualizar para uma versão que defina o atributo Secure para cookies confidenciais em sessões HTTPS, a fim de impedir que sejam enviados em texto simples por HTTP.
No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
Missing Encryption of Sensitive Data
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Digi Transport Gateway