Franklin Fueling Systems System Sentinel AnyWare (SSA) w wersji 1.6.24.492 jest podatny na atak Session Fixation (CWE-384). Podatność umożliwia nieuwierzytelnionemu atakującemu eskalację uprawnień oraz uzyskanie dostępu do wrażliwych informacji.
▸ Pokaż oryginał (EN)
Franklin Fueling Systems System Sentinel AnyWare (SSA) version 1.6.24.492 is vulnerable to Session Fixation. The 'sid' parameter in the group_status.asp resource allows an attacker to escalate privileges and obtain sensitive information.
Podatność wynika z nieprawidłowej obsługi identyfikatora sesji ('sid') w zasobie group_status.asp. Atakujący może przekazać z góry ustalony identyfikator sesji ofierze, a po jej uwierzytelnieniu przejąć kontrolę nad tą sesją. Mechanizm Session Fixation polega na tym, że aplikacja nie regeneruje identyfikatora sesji po zalogowaniu użytkownika, co umożliwia atakującemu posługiwanie się sesją o znanych mu parametrach.
Atakujący może przejąć sesję zalogowanego użytkownika, co prowadzi do eskalacji uprawnień oraz uzyskania nieautoryzowanego dostępu do wrażliwych informacji przetwarzanych przez system.
Należy zastosować patche dostępne u producenta zgodnie z referencjami. Dodatkowo zaleca się ograniczenie dostępu do interfejsu webowego SSA wyłącznie do zaufanych sieci oraz wdrożenie dodatkowej warstwy uwierzytelniania.
Franklin Fueling Systems System Sentinel AnyWare (SSA) wersja 1.6.24.492
Szczegóły techniczne i materiały dotyczące podatności zostały opublikowane publicznie w repozytorium GitHub badacza MatJosephs.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:HFranklin Electric System Sentinel Anyware
APPFranklin-Electric1.6.24.492