CVE-2024-43173
IBM Concert information disclosure
Em resumo
O IBM Concert versões 1.0.0 e 1.0.1 não protege adequadamente os cookies, permitindo que atacantes roubem dados de sessão do usuário por meio de solicitações entre sites. Isso coloca as contas de usuário em risco de acesso não autorizado.
Detalhe técnico
A aplicação não define o atributo SameSite nos cookies, possibilitando ataques de roubo de cookies baseados em CSRF. Um atacante pode criar solicitações maliciosas entre sites para capturar cookies de sessão de usuários autenticados, levando potencialmente ao sequestro de sessão e divulgação de informações.
Resumo gerado e traduzido por IA a partir da descrição oficial.
IBM Concert 1.0.0 and 1.0.1 vulnerable to attacks that rely on the use of cookies without the SameSite attribute.
CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:N/A:N
Produtos afetados
IBM · ConcertQuer saber se a sua infraestrutura está exposta a isto?
Falar com a TrueHacking →