PT-2022-9687 · Ifme · Ifme
Publicado
2022-02-10
·
Atualizado
2022-02-22
·
CVE-2021-25992
CVSS v3.1
9.8
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Versões do Ifme 1.0.0 a 7.33.2
Descrição
O problema decorre da invalidação incorreta da sessão após o usuário encerrar a sessão, permitindo que um invasor reutilize cookies de administrador por meio de acesso local ou de rede, ou realize outros possíveis ataques.
Recomendações
Para as versões 1.0.0 a 7.33.2, considere desativar o recurso de gerenciamento de sessão até que uma correção adequada seja implementada para impedir a reutilização da sessão.
Restrinja o acesso aos cookies de administrador para minimizar o risco de exploração.
No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
Exploit
Insufficient Session Expiration
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Ifme