Podatność w aplikacji webowej Bentley ALIM Web powoduje ujawnienie tokenu sesji użytkownika podczas próby pobrania plików. Atakujący może przejąć sesję ofiary i uzyskać nieautoryzowany dostęp do systemu bez jakiegokolwiek uwierzytelnienia.
▸ Pokaż oryginał (EN)
In the Bentley ALIM Web application, certain configuration settings can cause exposure of a user's ALIM session token when the user attempts to download files. This is fixed in Assetwise ALIM Web 23.00.04.04 and Assetwise Information Integrity Server 23.00.02.03.
Określone ustawienia konfiguracyjne aplikacji Bentley ALIM Web powodują, że token sesji użytkownika jest eksponowany w momencie inicjowania operacji pobierania plików. Wynika to z nieprawidłowego zarządzania danymi sesji (CWE-488 — ujawnienie danych między sesjami) oraz niewystarczającej ochrony sesji (CWE-613 — niewystarczający czas wygaśnięcia sesji). Przechwycony token może zostać użyty przez nieuprawnioną osobę do podszycia się pod prawowitego użytkownika.
Atakujący, który przechwyci token sesji, może uzyskać pełny dostęp do konta ofiary w systemie ALIM Web, co prowadzi do ujawnienia poufnych danych oraz możliwości ich modyfikacji (wysoka poufność i integralność danych).
Należy zaktualizować oprogramowanie do wersji Assetwise ALIM Web 23.00.04.04 lub nowszej oraz Assetwise Information Integrity Server 23.00.02.03 lub nowszej. Szczegóły dostępne w oficjalnym komunikacie Bentley pod adresem https://www.bentley.com/advisories/be-2024-0001/
Bentley ALIM Web (poprawka wprowadzona w Assetwise ALIM Web 23.00.04.04) oraz Assetwise Information Integrity Server (poprawka wprowadzona w wersji 23.00.02.03). Wcześniejsze wersje tych produktów są podatne.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N