CVE-2024-31999

Versões do @festify/secure-session anteriores à 7.3.0

A vulnerabilidade está presente no processo de remoção de sessões do @festify/secure-session. Quando uma sessão é excluída, ela é marcada para exclusão; no entanto, se um invasor obtiver acesso ao cookie, poderá continuar a utilizá-lo indefinidamente. O plugin cria uma sessão de cookie segura e sem estado para o Fastify, criptografando os dados da sessão com uma chave secreta e anexando o texto cifrado como valor do cookie. Quando um cookie criptografado com um nome de sessão correspondente é fornecido em solicitações subsequentes, ele descriptografa o texto cifrado para obter os dados e cria uma nova sessão.

Para versões anteriores à 7.3.0, atualize para a versão 7.3.0 para resolver o problema.

Como solução alternativa temporária, considere incluir um campo “última atualização” na sessão e trate as “sessões antigas” como expiradas.

Certifique-se de configurar seu cookie como “somente http” para minimizar o risco de exploração.