CRITICAL✓ PATCH🇬🇧 English

CVE-2024-23679

Session fixation w Enonic XP umożliwia pominięcie uwierzytelnienia

CVSS 9.8v3.1pub. 2024-01-19upd. 2025-11-29

Enonic XP w wersjach poniżej 7.7.4 jest podatne na atak session fixation, polegający na możliwości przejęcia wcześniej ustanowionych sesji użytkowników. Podatność może zostać wykorzystana przez niezautentyfikowanego atakującego zdalnie, bez jakiejkolwiek interakcji ze strony ofiary.

Pokaż oryginał (EN)

Enonic XP versions less than 7.7.4 are vulnerable to a session fixation issue. An remote and unauthenticated attacker can use prior sessions due to the lack of invalidating session attributes.

🤖 Analiza AI
Jak działa

Aplikacja nie unieważnia atrybutów sesji po zalogowaniu użytkownika, co prowadzi do podatności klasy session fixation (CWE-384). Atakujący może posłużyć się wcześniej istniejącym identyfikatorem sesji, który nie został poprawnie unieważniony przez system. Dzięki temu możliwe jest przejęcie sesji uwierzytelnionego użytkownika bez znajomości jego danych logowania.

Skutki

Atakujący może uzyskać pełen dostęp do konta uwierzytelnionego użytkownika, co prowadzi do naruszenia poufności, integralności oraz dostępności danych przetwarzanych w systemie Enonic XP.

Mitygacja

Należy zaktualizować Enonic XP do wersji 7.7.4 lub nowszej. Poprawki zostały wprowadzone w commitach dostępnych w repozytorium GitHub projektu (0189975, 1f44674, 2abac31).

Kogo dotyczy

Enonic XP w wersjach niższych niż 7.7.4

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Enonic Xp

    APP
    Enonic
    7.8.0< 7.7.4
🟢
PATCH DOSTĘPNY
Aktualizacja od producenta gotowa. Wdrożenie w ramach standardowego cyklu.
Tagi
Auth Bypass
CWE
Referencje
CVE-2024-23679 — Session fixation w Enonic XP umożliwia pominięcie uwierzytelnienia — CRITICAL 9.8 | CVEbaza.pl