CVE-2023-53957
Kimai 1.30.10 SameSite Cookie Vulnerability Session Hijacking
Em resumo
O Kimai 1.30.10 não protege adequadamente os cookies de sessão, permitindo que atacantes os roubem através de um truque que faz vítimas executarem código malicioso. Isso permite que atacantes sequestrem sessões de usuários e se passem por eles.
Detalhe técnico
A aplicação carece de atributos SameSite adequados nos cookies, viabilizando ataques de falsificação de solicitação entre sites (CSRF) onde vítimas são enganadas a executar scripts PHP maliciosos que capturam cookies de sessão. Um atacante pode explorar isso para realizar ações não autorizadas em nome de usuários autenticados.
Resumo gerado e traduzido por IA a partir da descrição oficial.
Kimai 1.30.10 contains a SameSite cookie vulnerability that allows attackers to steal user session cookies through malicious exploitation. Attackers can trick victims into executing a crafted PHP script that captures and writes session cookie information to a file, enabling potential session hijacking.
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:A/VC:H/VI:H/VA:N/SC:N/SI:N/SA:N
Produtos afetados
Kimai · KimaiQuer saber se a sua infraestrutura está exposta a isto?
Falar com a TrueHacking →