CRITICAL🇬🇧 English

CVE-2024-23590

Session Fixation w Apache Kylin — przejęcie sesji użytkownika

CVSS 9.1v3.1pub. 2024-11-04upd. 2025-07-10

Apache Kylin w wersjach od 2.0.0 do 4.x jest podatny na atak Session Fixation (utrwalenie sesji), sklasyfikowany jako CWE-384. Podatność umożliwia atakującemu przejęcie sesji uwierzytelnionego użytkownika bez znajomości jego hasła, co może prowadzić do nieautoryzowanego dostępu do danych i funkcji systemu.

Pokaż oryginał (EN)

Session Fixation vulnerability in Apache Kylin. This issue affects Apache Kylin: from 2.0.0 through 4.x. Users are recommended to upgrade to version 5.0.0 or above, which fixes the issue.

🤖 Analiza AI
Jak działa

Atak Session Fixation polega na tym, że atakujący narzuca ofierze z góry znany mu identyfikator sesji przed jej uwierzytelnieniem. Aplikacja nie generuje nowego identyfikatora sesji po pomyślnym zalogowaniu użytkownika, w wyniku czego sesja uwierzytelniona pozostaje powiązana z identyfikatorem kontrolowanym przez atakującego. Po tym, jak ofiara zaloguje się przy użyciu narzuconego identyfikatora, atakujący może go użyć do uzyskania pełnego dostępu do jej konta.

Skutki

Atakujący może przejąć sesję uwierzytelnionego użytkownika, uzyskując dostęp do jego danych oraz możliwość wykonywania operacji w jego imieniu, w tym odczyt i modyfikację danych analitycznych przechowywanych w Apache Kylin.

Mitygacja

Należy zaktualizować Apache Kylin do wersji 5.0.0 lub nowszej, która zawiera poprawkę eliminującą tę podatność.

Kogo dotyczy

Apache Kylin w wersjach od 2.0.0 do 4.x włącznie.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N
  • Apache Kylin

    APP
    Apache
    2.0.0 – 5.0.0 (bez)
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje

Powiązane podatności

CVE-2022-44621CRITICAL9.8ten sam produkt

Diagnosis Controller miss parameter validation, so user may attacked by command injection via HTTP Request.

CVE-2022-24697CRITICAL9.8ten sam produkt

Kylin's cube designer function has a command injection vulnerability when overwriting system parameters in the...

CVE-2021-45456CRITICAL9.8ten sam produkt

Apache kylin checks the legitimacy of the project before executing some commands with the project name passed ...

CVE-2021-31522CRITICAL9.8ten sam produkt

Kylin can receive user input and load any class through Class.forName(...). This issue affects Apache Kylin 2 ...

CVE-2020-13925CRITICAL9.8ten sam produkt

Similar to CVE-2020-1956, Kylin has one more restful API which concatenates the API inputs into OS commands an...