CVE-2025-27453
CVE-2025-27453
En resumen
La cookie de sesión de un sitio web no está protegida contra el acceso de JavaScript, permitiendo que scripts roben tu información de inicio de sesión. Esto significa que código malicioso en la página podría capturar tu sesión e suplantarte.
Detalle técnico
La cookie PHPSESSION carece de la bandera HttpOnly, permitiendo el acceso mediante scripts del lado del cliente a través de APIs del DOM. Un atacante puede explotar esto a través de vulnerabilidades XSS o JavaScript malicioso para exfiltrar tokens de sesión e interceptar sesiones de usuarios autenticados.
Resumen generado y traducido por IA a partir de la descripción oficial.
The HttpOnly flag is set to false on the PHPSESSION cookie. Therefore, the cookie can be accessed by other sources such as JavaScript.
CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:U/C:H/I:N/A:N
Productos afectados
Endress+Hauser · Endress+Hauser MEAC300-FNADE4¿Quieres saber si tu infraestructura está expuesta a esto?
Hablar con TrueHacking →Referencias
https://sick.com/psirthttps://www.cisa.gov/resources-tools/resources/ics-recommended-practiceshttps://www.endress.comhttps://www.first.org/cvss/calculator/3.1https://www.sick.com/.well-known/csaf/white/2025/sca-2025-0008.jsonhttps://www.sick.com/.well-known/csaf/white/2025/sca-2025-0008.pdf