Nome do software vulnerável e versões afetadas:

Zend Session (versões afetadas não especificadas)

Descrição:

O problema ocorre quando os validadores de sessão ZendSession são configurados antes do início de uma sessão, fazendo com que não funcionem conforme o esperado. Isso permite que um invasor contorne validadores de sessão como RemoteAddr ou HttpUserAgent, uma vez que a assinatura que esses validadores verificam não está armazenada na sessão. O problema ocorre porque chamadas subsequentes para ZendSessionSessionManager#start() não têm metadados de validador anexados, resultando na reconstrução dos metadados do validador a partir do zero e na marcação da sessão como válida.

Recomendações:

No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.