CRITICAL🇬🇧 English

CVE-2024-13280

Niewystarczające wygasanie sesji w module Drupal Persistent Login

CVSS 9.8v3.1pub. 2025-01-09upd. 2025-09-02

Moduł Persistent Login dla systemu Drupal zawiera podatność klasy Insufficient Session Expiration (CWE-613), która umożliwia atakującemu nieautoryzowany dostęp do zasobów poprzez technikę Forceful Browsing. Podatność otrzymała ocenę CVSS 9.8 (CRITICAL), co wskazuje na bardzo wysokie ryzyko dla systemów, na których jest zainstalowany podatny moduł.

Pokaż oryginał (EN)

Insufficient Session Expiration vulnerability in Drupal Persistent Login allows Forceful Browsing.This issue affects Persistent Login: from 0.0.0 before 1.8.0, from 2.0.* before 2.2.2.

🤖 Analiza AI
Jak działa

Podatność polega na tym, że sesje użytkowników nie są prawidłowo unieważniane po ich wygaśnięciu lub wylogowaniu, co jest charakterystyczne dla CWE-613. Atakujący może wykorzystać technikę Forceful Browsing — czyli próbę bezpośredniego dostępu do chronionych zasobów przy użyciu wciąż aktywnych, choć formalnie nieważnych tokenów sesji lub ciasteczek persistent login. W praktyce oznacza to, że nawet po wylogowaniu użytkownika lub upływie przewidzianego czasu sesji, mechanizm trwałego logowania nie unieważnia skutecznie wydanych tokenów.

Skutki

Atakujący bez uwierzytelnienia może uzyskać nieautoryzowany dostęp do konta innego użytkownika i wykonywać działania w jego imieniu, co prowadzi do naruszenia poufności, integralności oraz dostępności danych. W przypadku przejęcia sesji konta z wysokimi uprawnieniami możliwe jest pełne przejęcie kontroli nad aplikacją Drupal.

Mitygacja

Należy zaktualizować moduł Persistent Login do wersji 1.8.0 lub nowszej (dla gałęzi 1.x) albo do wersji 2.2.2 lub nowszej (dla gałęzi 2.x). Szczegółowe informacje dostępne są w komunikacie bezpieczeństwa Drupal: https://www.drupal.org/sa-contrib-2024-044.

Kogo dotyczy

Moduł Drupal Persistent Login w wersjach od 0.0.0 przed 1.8.0 oraz w wersjach z gałęzi 2.0.x przed 2.2.2.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Persistent Login Project Persistent Login

    APP
    Persistent Login Project
    < 1.8.02.0.0 – 2.1.1 (bez)2.2.0 – 2.2.2 (bez)
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje