CRITICAL🇬🇧 English

CVE-2022-40916

Session fixation w Tiny File Manager v2.4.7 i wcześniejszych

CVSS 9.8v3.1pub. 2025-02-06upd. 2025-12-31

Tiny File Manager w wersji 2.4.7 i wcześniejszych jest podatny na atak typu session fixation (utrwalanie sesji). Błąd otrzymał ocenę CVSS 9.8 (CRITICAL), co wskazuje na poważne zagrożenie dla poufności, integralności i dostępności danych.

Pokaż oryginał (EN)

Tiny File Manager v2.4.7 and below is vulnerable to session fixation.

🤖 Analiza AI
Jak działa

Session fixation (CWE-384) polega na tym, że atakujący jest w stanie narzucić ofierze z góry znany identyfikator sesji przed uwierzytelnieniem. Aplikacja nie generuje nowego identyfikatora sesji po pomyślnym zalogowaniu użytkownika, przez co atakujący, który wcześniej ustalił wartość tego identyfikatora, przejmuje uwierzytelnioną sesję ofiary. W efekcie atakujący uzyskuje dostęp do aplikacji z uprawnieniami zalogowanego użytkownika bez znajomości jego hasła.

Skutki

Atakujący może przejąć sesję uwierzytelnionego użytkownika i uzyskać pełny dostęp do zarządzanego menedżera plików, co może skutkować odczytem, modyfikacją lub usunięciem plików na serwerze oraz potencjalnym wykonaniem kodu.

Mitygacja

Należy zaktualizować Tiny File Manager do wersji nowszej niż 2.4.7. W ramach środków doraźnych zaleca się ograniczenie dostępu do instancji aplikacji wyłącznie do zaufanych sieci lub adresów IP oraz monitorowanie aktywnych sesji. Szczegóły poprawki dostępne są w repozytorium producenta.

Kogo dotyczy

Prasathmani Tiny File Manager w wersji 2.4.7 oraz wszystkich wcześniejszych wersjach.

Uwagi

Dostępny jest publiczny proof-of-concept (PoC) dla tej podatności opublikowany w repozytorium GitHub pod adresem wskazanym w referencjach.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Prasathmani Tiny File Manager

    APP
    Prasathmani
    ≤ 2.4.7
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje

Powiązane podatności

CVE-2022-45476CRITICAL9.8ten sam produkt

Tiny File Manager version 2.4.8 executes the code of files uploaded by users of the application, instead of ju...

CVE-2022-1000CRITICAL9.8ten sam produkt

Path Traversal in GitHub repository prasathmani/tinyfilemanager prior to 2.4.7.

CVE-2022-23044HIGH8.8ten sam produkt

Tiny File Manager version 2.4.8 allows an unauthenticated remote attacker to persuade users to perform uninten...

CVE-2021-45010HIGH8.8ten sam produkt

A path traversal vulnerability in the file upload functionality in tinyfilemanager.php in Tiny File Manager be...

CVE-2021-40965HIGH8.8ten sam produkt

A Cross-Site Request Forgery (CSRF) vulnerability exists in TinyFileManager all version up to and including 2....