PT-2022-15823 · Shopizer · Shopizer
Publicado
2022-05-03
·
Atualizado
2022-05-10
·
CVE-2022-23063
CVSS v3.1
8.8
Alta
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Shopizer, versões 2.3.0 a 3.0.1
Descrição
O problema está relacionado ao tempo de expiração insuficiente da sessão. Quando a senha de um usuário é alterada por ele mesmo ou por um administrador, um usuário que já estava conectado continuará tendo acesso ao aplicativo mesmo após a alteração da senha.
Recomendações
Para as versões 2.3.0 a 3.0.1 do Shopizer, considere implementar um mecanismo para invalidar as sessões existentes quando a senha de um usuário for alterada, garantindo que os usuários sejam obrigados a fazer login novamente após a alteração da senha.
No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
Exploit
Insufficient Session Expiration
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Shopizer