CVE-2025-51306
CVE-2025-51306
Em resumo
No Gatling Enterprise (versões anteriores à 1.25.0), quando um usuário faz logout, seu token de sessão continua válido e pode ser usado para acessar a aplicação normalmente. O logout não encerra de fato o acesso.
Detalhe técnico
Gatling Enterprise anterior à versão 1.25.0 possui invalidação inadequada de sessão (CWE-1259). O mecanismo de logout falha em expirar ou revogar o token de sessão, permitindo que um atacante com um token capturado mantenha acesso não autorizado mesmo após o logout do usuário legítimo. A superfície de ataque se limita a usuários com tokens válidos.
Resumo gerado e traduzido por IA a partir da descrição oficial.
In Gatling Enterprise versions below 1.25.0, a user logging-out can still use his session token to continue using the application without expiration, due to incorrect session management.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:N
Produtos afetados
n/a · n/aQuer saber se a sua infraestrutura está exposta a isto?
Falar com a TrueHacking →Referências
https://gatling.io/productshttps://github.com/Flo354/vulnerabilities/blob/main/gatling-enterprise/CVE-2025-51306-broken-logout.mdhttps://github.com/Flo354/vulnerabilities/blob/main/gatling-enterprise/CVE-2025-51306-change-permissions-not-reflected.mdhttps://github.com/Flo354/vulnerabilities/tree/main/gatling-enterprise