CVE-2022-38386

Nome do software vulnerável e versões afetadas:

IBM Cloud Pak for Security (CP4S), versões 1.10.0.0 a 1.10.11.0

IBM QRadar Suite for Software, versões 1.10.12.0 a 1.10.19.0

Descrição:

O problema está relacionado a erros nas configurações de segurança, especificamente à falha em definir o atributo SameSite para cookies confidenciais. Isso poderia permitir que um invasor obtivesse informações confidenciais usando técnicas de man-in-the-middle. A vulnerabilidade pode ser explorada por um invasor remoto para obter acesso a informações confidenciais.

Recomendações:

Para o IBM Cloud Pak for Security (CP4S) versões 1.10.0.0 a 1.10.11.0, atualize as configurações de segurança para incluir o atributo SameSite para cookies confidenciais.

Para o IBM QRadar Suite for Software versões 1.10.12.0 a 1.10.19.0, atualize as configurações de segurança para incluir o atributo SameSite para cookies confidenciais.

Como solução alternativa temporária, considere restringir o acesso a cookies confidenciais até que o problema seja resolvido.