CVEbaza.plSłownik CWECWE-6
Common Weakness Enumeration

CWE-6

J2EE Misconfiguration: Insufficient Session-ID Length

Kategoria: VariantCVE: 1
Opis

Aplikacja J2EE jest skonfigurowana do używania niewystarczająco długiego identyfikatora sesji. Zwiększa to podatność na ataki związane z odgadywaniem lub bruteforce'owaniem identyfikatorów sesji.

Description (EN)

The J2EE application is configured to use an insufficient session ID length.

Podatności CVE z CWE-6 (1)
8.8
CVSS
HIGH
CVE-2018-12538

In Eclipse Jetty versions 9.4.0 through 9.4.8, when using the optional Jetty provided FileSessionDataStore for persistent storage of HttpSession details, it is possible for a malicious user to access/hijack other HttpSessions and even delete unmatched HttpSessions present in the FileSystem's storage for the FileSessionDataStore.

pub. 2018-06-22
Informacje
ID: CWE-6
Typ: Variant
Podatności: 1
MITRE CWE ↗
← Słownik CWE
CWE-6 — Błędna konfiguracja J2EE: Niewystarczająca długość identyfikatora sesji | Słownik CWE | CVEbaza.pl