CVE-2025-27453
CVE-2025-27453
Em resumo
O cookie de sessão do site não está protegido contra acesso por JavaScript, permitindo que scripts roubem suas informações de login. Isso significa que código malicioso na página poderia capturar sua sessão e se passar por você.
Detalhe técnico
O cookie PHPSESSION não possui a flag HttpOnly, permitindo acesso via scripts do lado do cliente através de APIs do DOM. Um atacante pode explorar isso por meio de vulnerabilidades XSS ou JavaScript malicioso para extrair tokens de sessão e sequestrar sessões de usuários autenticados.
Resumo gerado e traduzido por IA a partir da descrição oficial.
The HttpOnly flag is set to false on the PHPSESSION cookie. Therefore, the cookie can be accessed by other sources such as JavaScript.
CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:U/C:H/I:N/A:N
Produtos afetados
Endress+Hauser · Endress+Hauser MEAC300-FNADE4Quer saber se a sua infraestrutura está exposta a isto?
Falar com a TrueHacking →Referências
https://sick.com/psirthttps://www.cisa.gov/resources-tools/resources/ics-recommended-practiceshttps://www.endress.comhttps://www.first.org/cvss/calculator/3.1https://www.sick.com/.well-known/csaf/white/2025/sca-2025-0008.jsonhttps://www.sick.com/.well-known/csaf/white/2025/sca-2025-0008.pdf