Vulnerabilidad en SEC Consult Vulnerability Lab (CVE-2024-25977)

Gravedad:

Pendiente de análisis

Tipo:

No Disponible / Otro tipo

Fecha de publicación:

29/05/2024

Última modificación:

10/06/2024

Descripción

La aplicación no cambia el token de sesión cuando se utiliza la función de inicio o cierre de sesión. Un atacante puede establecer un token de sesión en el navegador de la víctima (por ejemplo, mediante XSS) y pedirle que inicie sesión (por ejemplo, mediante una redirección a la página de inicio de sesión). Esto da como resultado que se apodere de la cuenta de la víctima.

Impacto

Referencias a soluciones, herramientas e información

http://seclists.org/fulldisclosure/2024/May/34
https://github.com/HAWK-Digital-Environments/HAWKI/commit/146967f3148e92d1640ffebc21d8914e2d7fb3f1
https://r.sec-consult.com/hawki