PT-2022-28162 · Enonic · Enonic Xp
Rymsha
·
Publicado
2022-10-12
·
Atualizado
2025-11-29
·
CVE-2024-23679
CVSS v3.1
9.8
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Versões do Enonic XP anteriores à 7.7.4
Descrição
O problema consiste em uma falha de fixação de sessão que permite que um invasor remoto e não autenticado utilize sessões anteriores devido à falta de invalidação dos atributos de sessão. Isso afeta todos os provedores de identificação que utilizam o método
login da biblioteca lib-auth.Recomendações
Para versões do Enonic XP anteriores à 7.7.4, considere atualizar para a versão 7.7.4 ou posterior para resolver o problema.
Como solução alternativa temporária, evite usar lib-auth para
login e, em vez disso, use a API Java, que permite invalidar sessões anteriores antes que as informações de autenticação sejam adicionadas.Correção
Session Fixation
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Enonic Xp