Vulnerabilidad en Snyk (CVE-2024-21492)
Gravedad CVSS v3.1:
MEDIA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
17/02/2024
Última modificación:
06/12/2024
Descripción
Todas las versiones del paquete github.com/greenpau/caddy-security son vulnerables a una caducidad de sesión insuficiente debido a una invalidación incorrecta de la sesión del usuario al hacer clic en el botón "Cerrar sesión". Las sesiones de usuario siguen siendo válidas incluso después de enviar solicitudes a /logout y /oauth2/google/logout. Los atacantes que obtienen acceso a una sesión activa pero supuestamente cerrada pueden realizar acciones no autorizadas en nombre del usuario.
Impacto
Puntuación base 3.x
4.80
Gravedad 3.x
MEDIA
Referencias a soluciones, herramientas e información
- https://blog.trailofbits.com/2023/09/18/security-flaws-in-an-sso-plugin-for-caddy/
- https://github.com/greenpau/caddy-security/issues/272
- https://security.snyk.io/vuln/SNYK-GOLANG-GITHUBCOMGREENPAUCADDYSECURITY-5920787
- https://blog.trailofbits.com/2023/09/18/security-flaws-in-an-sso-plugin-for-caddy/
- https://github.com/greenpau/caddy-security/issues/272
- https://security.snyk.io/vuln/SNYK-GOLANG-GITHUBCOMGREENPAUCADDYSECURITY-5920787