CVE-2024-24823

Versões do Graylog 4.3.0 a 5.1.10

Versões do Graylog 4.3.0 a 5.2.3

A vulnerabilidade permite que se realize uma reautenticação utilizando um cookie de sessão existente para reutilizar esse ID de sessão, mesmo que seja com credenciais de usuário diferentes. Isso poderia ser usado para obter acesso elevado a uma sessão de login existente do Graylog, desde que o usuário mal-intencionado conseguisse injetar com sucesso seu cookie de sessão no navegador de outra pessoa. A complexidade de tal ataque é alta, pois requer a apresentação de uma tela de login falsificada e a injeção de um cookie de sessão em um navegador existente, potencialmente por meio de um ataque de cross-site scripting. Nenhum ataque desse tipo foi descoberto. O uso de expiração curta de sessão e logouts explícitos de sessões não utilizadas podem ajudar a limitar o vetor de ataque. Um proxy poderia ser utilizado para limpar o cookie de autenticação da URL do servidor Graylog para o endpoint “/api/system/sessions”, já que esse é o único vulnerável.

Para as versões 4.3.0 a 5.1.10 do Graylog, atualize para a versão 5.1.11 ou posterior para resolver o problema.

Para as versões 4.3.0 a 5.2.3 do Graylog, atualize para a versão 5.2.4 ou posterior para resolver o problema.

Como solução alternativa temporária, considere usar expiração curta de sessão e logouts explícitos de sessões não utilizadas para limitar o vetor de ataque.

Restrinja o acesso ao endpoint “/api/system/sessions” limpando o cookie authentication da URL do servidor Graylog usando um proxy.