PT-2025-48449 · Unknown · Nopcommerce
Beafn28
+1
·
Publicado
2025-12-01
·
Atualizado
2026-01-06
·
CVE-2025-11699
CVSS v3.1
7.1
Alta
| Vetor | AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:H/A:N |
Nome do Software Vulnerável e Versões Afetadas
Versões do nopCommerce anteriores à 4.80.3
Descrição
O software não invalida os cookies de sessão após o logout ou o término da sessão. Isso permite que um atacante com um cookie de sessão válido acesse endpoints privilegiados, como '/admin', mesmo após o usuário legítimo ter feito logout, potencialmente possibilitando o sequestro de sessão. Aproximadamente 40,8 mil instâncias estão expostas. O problema permite que atacantes reutilizem cookies de sessão expirados devido a uma falha no logout, potencialmente levando ao sequestro de conta, incluindo acesso administrativo.
Recomendações
Versões anteriores à 4.80.3 devem ser atualizadas para a versão 4.80.3 ou posterior.
Correção
Insufficient Session Expiration
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Nopcommerce