CVE-2025-26844
CVE-2025-26844
Em resumo
O Znuny define cookies sem a flag HttpOnly, permitindo que códigos JavaScript acessem cookies de sessão sensíveis. Isso permite que atacantes roubem sessões de usuários através de scripts, mesmo com outras proteções ativas.
Detalhe técnico
A flag HttpOnly está ausente na configuração de cookies no Znuny ≤7.1.3, permitindo que scripts do lado do cliente acessem tokens de autenticação via APIs JavaScript. Um atacante pode explorar vulnerabilidades XSS ou scripts maliciosos para exfiltrar cookies de sessão, resultando em acesso não autorizado à conta sem necessidade de interação no servidor.
Resumo gerado e traduzido por IA a partir da descrição oficial.
An issue was discovered in Znuny through 7.1.3. A cookie is set without the HttpOnly flag.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Produtos afetados
n/a · n/aQuer saber se a sua infraestrutura está exposta a isto?
Falar com a TrueHacking →