PT-2024-21355 · Unknown · Recrystallize Server
Paul Van Der Haas
·
Publicado
2024-04-08
·
Atualizado
2024-08-06
·
CVE-2024-26331
CVSS v3.1
7.5
Alta
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N |
Nome do software vulnerável e versões afetadas
ReCrystallize Server versão 5.10.0.0
Descrição
O problema diz respeito a um mecanismo de autorização que depende do valor de um cookie, mas não vincula esse valor a um ID de sessão. Isso permite que invasores modifiquem facilmente o valor do cookie dentro de um navegador ou implementando código do lado do cliente fora do navegador, contornando assim o mecanismo de autenticação ao modificar o cookie para que contenha um valor esperado.
Recomendações
Para o ReCrystallize Server versão 5.10.0.0, considere implementar uma vinculação segura dos valores dos cookies aos IDs de sessão para impedir o acesso não autorizado. Como solução temporária, restrinja o acesso a áreas sensíveis do servidor que dependem do mecanismo de autenticação baseado em cookies até que uma correção adequada seja implementada. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.
Improper Authentication
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Recrystallize Server