CVE-2024-39734

IBM Datacap Navigator, versões 9.1.5 a 9.1.9

O problema está relacionado à ausência do atributo de segurança nos cookies de sessão, permitindo que invasores obtenham valores de cookies enviando um link http a um usuário ou inserindo esse link em um site que o usuário visite. O cookie será enviado para o link não seguro, e o invasor poderá então obter o valor do cookie ao monitorar o tráfego. Isso pode permitir que um invasor remoto obtenha acesso não autorizado a informações protegidas ao interceptar cookies de sessão.

Para as versões 9.1.5 a 9.1.9 do IBM Datacap Navigator, considere definir o atributo de segurança em tokens de autorização ou cookies de sessão para impedir que sejam enviados por links não seguros. Como solução alternativa temporária, restrinja o acesso a informações confidenciais e evite o uso de links não seguros para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.