PT-2024-20546 · 1Panel · 1Panel
Wanghe-Fit2Cloud
·
Publicado
2024-02-05
·
Atualizado
2024-06-28
·
CVE-2024-24768
CVSS v3.1
6.5
Média
| Vetor | AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:L |
Nome do software vulnerável e versões afetadas
Versões do 1Panel anteriores à 1.9.6
Descrição
O cookie HTTPS fornecido com o 1Panel não possui a palavra-chave “Secure”, o que pode fazer com que o cookie seja enviado em texto simples se o acesso for feito via HTTP. Esse problema afeta todos os usuários que configuraram o painel para HTTPS.
Recomendações
Para versões anteriores à 1.9.6, atualize para a versão 1.9.6 para resolver o problema. Como solução temporária, considere configurar o HTTPS diretamente para o painel a fim de minimizar o risco de exploração. Restrinja o acesso ao painel ao usar HTTP para impedir que o cookie seja enviado em texto simples.
Exploit
Correção
Missing Encryption of Sensitive Data
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
1Panel