CVE-2024-55897

IBM PowerHA SystemMirror for i, versões 7.4 a 7.5

O problema está relacionado ao tratamento inseguro de cookies, em que o atributo de segurança não é definido nos tokens de autorização ou nos cookies de sessão. Isso permite que invasores possam obter os valores dos cookies enviando ao usuário um link para um site não seguro ou inserindo tal link em um site que o usuário visite. O cookie será enviado para o link não seguro, e o invasor poderá então obter o valor do cookie ao interceptar o tráfego.

Para as versões 7.4 e 7.5, considere desativar o uso de tokens de autorização ou cookies de sessão até que um patch esteja disponível. Restrinja o acesso a áreas confidenciais do sistema para minimizar o risco de exploração. Evite usar links não seguros (http://) para operações confidenciais; em vez disso, use links seguros (https://) para proteger os valores dos cookies contra interceptação. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.