Enonic XP w wersjach poniżej 7.7.4 jest podatne na atak session fixation, polegający na możliwości przejęcia wcześniej ustanowionych sesji użytkowników. Podatność może zostać wykorzystana przez niezautentyfikowanego atakującego zdalnie, bez jakiejkolwiek interakcji ze strony ofiary.
▸ Pokaż oryginał (EN)
Enonic XP versions less than 7.7.4 are vulnerable to a session fixation issue. An remote and unauthenticated attacker can use prior sessions due to the lack of invalidating session attributes.
Aplikacja nie unieważnia atrybutów sesji po zalogowaniu użytkownika, co prowadzi do podatności klasy session fixation (CWE-384). Atakujący może posłużyć się wcześniej istniejącym identyfikatorem sesji, który nie został poprawnie unieważniony przez system. Dzięki temu możliwe jest przejęcie sesji uwierzytelnionego użytkownika bez znajomości jego danych logowania.
Atakujący może uzyskać pełen dostęp do konta uwierzytelnionego użytkownika, co prowadzi do naruszenia poufności, integralności oraz dostępności danych przetwarzanych w systemie Enonic XP.
Należy zaktualizować Enonic XP do wersji 7.7.4 lub nowszej. Poprawki zostały wprowadzone w commitach dostępnych w repozytorium GitHub projektu (0189975, 1f44674, 2abac31).
Enonic XP w wersjach niższych niż 7.7.4
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:HEnonic Xp
APPEnonic7.8.0< 7.7.4