Moduł Persistent Login dla systemu Drupal zawiera podatność klasy Insufficient Session Expiration (CWE-613), która umożliwia atakującemu nieautoryzowany dostęp do zasobów poprzez technikę Forceful Browsing. Podatność otrzymała ocenę CVSS 9.8 (CRITICAL), co wskazuje na bardzo wysokie ryzyko dla systemów, na których jest zainstalowany podatny moduł.
▸ Pokaż oryginał (EN)
Insufficient Session Expiration vulnerability in Drupal Persistent Login allows Forceful Browsing.This issue affects Persistent Login: from 0.0.0 before 1.8.0, from 2.0.* before 2.2.2.
Podatność polega na tym, że sesje użytkowników nie są prawidłowo unieważniane po ich wygaśnięciu lub wylogowaniu, co jest charakterystyczne dla CWE-613. Atakujący może wykorzystać technikę Forceful Browsing — czyli próbę bezpośredniego dostępu do chronionych zasobów przy użyciu wciąż aktywnych, choć formalnie nieważnych tokenów sesji lub ciasteczek persistent login. W praktyce oznacza to, że nawet po wylogowaniu użytkownika lub upływie przewidzianego czasu sesji, mechanizm trwałego logowania nie unieważnia skutecznie wydanych tokenów.
Atakujący bez uwierzytelnienia może uzyskać nieautoryzowany dostęp do konta innego użytkownika i wykonywać działania w jego imieniu, co prowadzi do naruszenia poufności, integralności oraz dostępności danych. W przypadku przejęcia sesji konta z wysokimi uprawnieniami możliwe jest pełne przejęcie kontroli nad aplikacją Drupal.
Należy zaktualizować moduł Persistent Login do wersji 1.8.0 lub nowszej (dla gałęzi 1.x) albo do wersji 2.2.2 lub nowszej (dla gałęzi 2.x). Szczegółowe informacje dostępne są w komunikacie bezpieczeństwa Drupal: https://www.drupal.org/sa-contrib-2024-044.
Moduł Drupal Persistent Login w wersjach od 0.0.0 przed 1.8.0 oraz w wersjach z gałęzi 2.0.x przed 2.2.2.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:HPersistent Login Project Persistent Login
APPPersistent Login Project< 1.8.02.0.0 – 2.1.1 (bez)2.2.0 – 2.2.2 (bez)