CVE-2025-52628
HCL AION is susceptible to Missing SameSite vulnerability
Em resumo
O HCL AION 2.0 não protege adequadamente os cookies, permitindo que sejam enviados em requisições de outros sites, o que pode permitir que atacantes façam ações indesejadas na conta do usuário.
Detalhe técnico
A aplicação não define o atributo SameSite nos cookies, permitindo que sejam transmitidos em requisições entre sites. Isso habilita ataques de Falsificação de Solicitação Entre Sites (CSRF), nos quais um invasor pode forjar requisições em nome de usuários autenticados. A vulnerabilidade afeta o AION 2.0 e requer interação do usuário através de um site malicioso de terceiros.
Resumo gerado e traduzido por IA a partir da descrição oficial.
HCL AION is affected by a Cookie with Insecure, Improper, or Missing SameSite vulnerability. This can allow cookies to be sent in cross-site requests, potentially increasing exposure to cross-site request forgery and related security risks. This issue affects AION: 2.0.
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:N/I:L/A:L
Produtos afetados
HCL · AIONQuer saber se a sua infraestrutura está exposta a isto?
Falar com a TrueHacking →