BDU:2021-05114: Уязвимость средства планирования ресурсов предприятия LedgerSMB, связанная с отсутствием установки атрибута «Secure» в файлах cookie сеанса авторизации, позволяющая нарушителю получить данные аутентификации

Описание уязвимости Уязвимость средства планирования ресурсов предприятия LedgerSMB связана с отсутствием установки атрибута «Secure» в файлах cookie сеанса авторизации. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить данные аутентификации путем перехвата сетевого трафика
Вендор LedgerSMB
Наименование ПО LedgerSMB
Версия ПО
  • 1.8.0
Тип ПО Сетевое средство, Сетевое программное средство
Операционные системы и аппаратные платформы
Данные уточняются
Тип ошибки Непринятие мер по шифрованию секретных данных, Критичные cookie-файлы в HTTPS-сеансе без параметра «безопасно»
Идентификатор типа ошибки
Класс уязвимости Уязвимость кода
Дата выявления 14.10.2021
Базовый вектор уязвимости
Уровень опасности уязвимости Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,1)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 6,8)
Возможные меры по устранению уязвимости
Статус уязвимости Подтверждена производителем
Наличие эксплойта Существует в открытом доступе
Способ эксплуатации
  • Манипулирование структурами данных
Способ устранения Обновление программного обеспечения
Информация об устранении Уязвимость устранена
Ссылки на источники
ttps://github.com/ledgersmb/ledgersmb/commit/c242f5a2abf4b99b0da205473cbba034f306bfe2
https://huntr.dev/bounties/7061d97a-98a5-495a-8ba0-3a4c66091e9d
https://ledgersmb.org/index.php/content/192-released
Идентификаторы других систем описаний уязвимостей
Прочая информация Данные уточняются
Последние изменения