Nome do software vulnerável e versões afetadas:

Zend Session (versões afetadas não especificadas)

Descrição:

O problema surge quando os validadores de sessão ZendSession são definidos antes do início de uma sessão, fazendo com que não funcionem como esperado. Isso permite que um invasor contorne validadores de sessão como RemoteAddr ou HttpUserAgent, ignorando a “assinatura” que esses validadores verificam, a qual não está armazenada na sessão. O problema ocorre porque chamadas subsequentes para start() não retêm os metadados do validador, levando a sessão a ser marcada como válida mesmo que as verificações do validador falhem.

Recomendações:

No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.