PT-2022-21460 · Wwbn · Avideo
Claudio Bozzato
·
Publicado
2022-08-22
·
Atualizado
2022-08-24
·
CVE-2022-32778
CVSS v3.1
7.5
Alta
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N |
Nome do software vulnerável e versões afetadas
WWBN AVideo versões 11.6 e dev master commit 3f7c0364
Descrição
Existe uma falha de divulgação de informações na funcionalidade de cookies. O cookie de sessão e o cookie de senha não possuem o sinalizador HttpOnly, tornando-os acessíveis via JavaScript. O cookie de sessão também não possui o sinalizador secure, permitindo que seja vazado em conexões que não sejam HTTPS. Isso poderia permitir que um invasor roubasse o cookie de sessão por meio de solicitações HTTP maliciosas. O cookie de senha, que contém a senha hash, pode vazar via JavaScript.
Recomendações
Para o WWBN AVideo versão 11.6, considere definir os sinalizadores HttpOnly e secure para os cookies de sessão e de senha, a fim de impedir que sejam acessados via JavaScript e vazem por conexões não HTTPS.
Para o commit 3f7c0364 do WWBN AVideo dev master, considere definir os sinalizadores HttpOnly e secure para os cookies de sessão e de senha, a fim de impedir que sejam acessados via JavaScript e vazados por conexões não HTTPS.
Como solução alternativa temporária, considere restringir o acesso ao cookie de senha e ao cookie de sessão até que um patch esteja disponível.
Correção
Incorrect Permission
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Avideo