CWE-1275 · Чувствительный файл cookie с некорректным атрибутом SameSite

Сканер-ВСкаталог уязвимостей · v4.2

Главная Каталог Источники CWE CAPEC ATT&CK Меры защиты Продукты Вендоры Документация

← Вернуться к списку

CWE-1275ВариантНеполный

Абстракция: Вариант

Статус: Неполный

Источник ↗

Чувствительный файл cookie с некорректным атрибутом SameSite

Атрибут SameSite для чувствительных файлов cookie не установлен или задано небезопасное значение.

Открыть в каталоге с фильтром CWE →

Связанные CAPEC

Подделка межсайтовых запросов

Связанные уязвимости

CVE-2024-6611Вложенный iframe, запускающий межсайтовую навигацию, может отправлять файлы cookie SameSite=Strict или Lax. Эта уязвимость затрагивает Firefox < 128 и Thunderbird < 128.

CVE-2025-52628HCL AION страдает от cookie-уязвимости с небезопасным, неправильным или пропущенным одноименным сайтом. Это может позволить отправлять файлы cookie по запросам через сайт, потенциально увеличивая подверженность подделке запросов на перекрестный сайт и связанным с этим рискам безопасности. Эта проблема затрагивает AION: 2.0.

CVE-2023-53957Kimai 1.30.10 содержит уязвимость файлов cookie SameSite, которая позволяет злоумышленникам красть пользовательские файлы cookie посредством вредоносной эксплуатации. Злоумышленники могут обмануть жертв, выполнив созданный PHP-скрипт, который фиксирует и записывает информацию о файле сессионального файла в файл, что позволяет осуществлять потенциальный захват сеанса.

CVE-2025-36134IBM Sterling B2B Integrator и IBM Sterling File Gateway 6.0.0.0 до 6.1.2.7 и 6.2.0.0-6.2.0.5 и 6.2.0.5 и 6.2.2.1.1.1 могут раскрывать конфиденциальную информацию из-за отсутствующего или небезопасного атрибута SameSite для чувствительного файла cookie.

CVE-2025-24387Уязвимость в сервере приложений OTRS позволяет угон сессий из-за отсутствия атрибутов для настройки чувствительных куки в HTTPS-сессиях. Запрос к конечной точке OTRS с возможного вредоносного веб-сайта отправит куки аутентификации, выполняя нежелательную операцию чтения. Эта проблема затрагивает: OTRS 7.0.X, OTRS 8.0.X, OTRS 2023.X, OTRS 2024.X, OTRS 2025.x.

CVE-2022-45410Когда ServiceWorker перехватывал запрос с помощью <code>FetchEvent</code>, источник запроса терялся после того, как ServiceWorker принимал его во владение. Это имело эффект отрицания защиты файлов cookie SameSite. Это было рассмотрено в спецификации, а затем и в браузерах. Эта уязвимость затрагивает Firefox ESR < 102.5, Thunderbird < 102.5 и Firefox < 107.

CVE-2022-38386IBM Cloud Pak for Security (CP4S) 1.10.0.0–1.10.11.0 и IBM QRadar Suite for Software 1.10.12.0–1.10.19.0 не устанавливают атрибут SameSite для конфиденциальных файлов cookie, что может позволить злоумышленнику получить конфиденциальную информацию, используя методы «человек посередине». IBM X-Force ID: 233778.

CVE-2024-42212HCL BigFix Compliance уязвим к неправильному или отсутствующему атрибуту SameSite, что может привести к атакам CSRF, когда вредоносный сайт может обмануть браузер пользователя, заставив его выполнить непреднамеренные запросы с использованием аутентифицированных сессий [1]. Источники: - [1] https://support.hcl-software.com/csm?id=kb_article&sysparm_article=KB0120961

CVE-2024-30155HCL SX не устанавливает атрибут secure для токенов авторизации или куки сессии. Атакующие могут потенциально получить доступ к значениям куки через запросы Cross-Site Forgery (CSRF).

CVE-2024-43173IBM Concert 1.0.0 и 1.0.1 уязвимы для атак, основанных на использовании файлов cookie без атрибута SameSite.