CVE-2025-34412

Nome do Software Vulnerável e Versões Afetadas Versões da Plataforma de Denúncia Convercent (versões afetadas não especificadas)

Descrição O aplicativo apresenta uma falha no mecanismo de proteção no gerenciamento de navegador e sessão. Ele carece de cabeçalhos de segurança HTTP essenciais, incluindo Content-Security-Policy, Referrer-Policy, Permissions-Policy, Cross-Origin-Embedder-Policy, Cross-Origin-Opener-Policy e Cross-Origin-Resource-Policy. As proteções contra Clickjacking estão incompletas e os cookies de sessão são emitidos com atributos inseguros, como valores duplicados de ASP.NET SessionId, ausência do atributo Secure para o cookie de afinidade e configurações SameSite inconsistentes. Esses problemas enfraquecem o isolamento do navegador e a integridade da sessão, potencialmente levando a ataques do lado do cliente, fixação de sessão e vazamento de sessão cross-site.

Recomendações No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.