CVE-2026-25101

Session Fixation in Bludit

CVSS 4.8 MEDIUMEPSS 0.4%CWE-384

Vexday Risk Score

13Baixo

Decisão SSVC (CISA)

Track

Sem sinal de exploração → monitorar

CVSS 4.8EPSS 0.4%KEV nãoPoC —Nuclei —Metasploit —Patch —

Ciclo de vida

27 mar 2026Publicada no NVD

Recomendação: Monitorar — sem sinal de exploração no momento.

Bludit allows user's session identifier to be set before authentication. The value of this session ID stays the same after authentication. This behavior enables an attacker to fix a session ID for a victim and later hijack the authenticated session. This issue was fixed in version 3.17.2.

CVSS:4.0/AV:L/AC:L/AT:N/PR:N/UI:P/VC:L/VI:L/VA:N/SC:N/SI:N/SA:N

Produtos afetados

Bludit · Bludit

Quer saber se a sua infraestrutura está exposta a isto?

Falar com a TrueHacking →

Referências

https://cert.pl/posts/2026/03/CVE-2026-25099 https://github.com/bludit/bludit/releases/tag/3.17.2