CWE-613БазаНеполный
Недостаточное истечение сессии
По определению WASC, «недостаточное истечение сессии возникает, когда веб-сайт позволяет злоумышленнику повторно использовать старые учётные данные сессии или идентификаторы сессии для авторизации».
Открыть в каталоге с фильтром CWE →Связанные CAPEC
—
Связанные уязвимости
CVE-2024-42447Уязвимость недостаточного срока действия сессии в Apache Airflow Providers FAB.
Эта проблема затрагивает Apache Airflow Providers FAB: 1.2.1 (при использовании с Apache Airflow 2.9.3) и FAB 1.2.0 для всех версий Airflow. Провайдер FAB не позволял пользователю выйти из системы.
* FAB provider 1.2.1 затрагивал только Airflow 2.9.3 (более ранние и поздние версии Airflow не затрагиваются)
* FAB provider 1.2.0 затрагивал все версии Airflow.
Пользователям, использующим Apache Airflow 2.9.3, рекомендуется обновиться до Apache Airflow Providers FAB версии 1.2.2, в которой исправлена эта проблема.
Пользователям, использующим любую версию Apache Airflow и имеющим FAB provider 1.2.0, рекомендуется обновиться до Apache Airflow Providers FAB версии 1.2.2, в которой исправлена эта проблема.
Также рекомендуется обновить Apache Airflow до последней доступной версии.
Примечание: Ранняя версия эталонных контейнерных образов Airflow 2.9.3 и файлов ограничений содержала версию FAB provider 1.2.1, но это исправлено в обновленных версиях образов.
Пользователям рекомендуется загрузить последние образы Airflow или переустановить FAB provider в соответствии с текущими ограничениями.
CVE-2024-41827В JetBrains TeamCity до 2024.07 токены доступа могли продолжать работать после удаления или истечения срока действия
CVE-2024-29401xzs-mysql 3.8 подвержен недостаточной длительности сессии, что позволяет злоумышленникам использовать сессию удаленного администратора для выполнения любых действий.
CVE-2024-27782Множественные уязвимости недостаточного срока действия сеанса [CWE-613] в FortiAIOps версии 2.0.0 могут позволить злоумышленнику повторно использовать украденные старые токены сеанса для выполнения несанкционированных операций с помощью специально разработанных запросов.
CVE-2024-25718В пакете Samly до версии 1.4.0 для Elixir функция Samly.State.Store.get_assertion/3 может возвращать устаревшую сессию, что мешает контролю доступа, поскольку Samly.AuthHandler использует кэшированную сессию и не заменяет ее, даже после истечения срока действия.
CVE-2024-13280Недостаточная уязвимость истечения срока действия сеанса в Drupal Persistent Login позволяет осуществлять принудительный просмотр. Эта проблема затрагивает Persistent Login: от 0.0.0 до 1.8.0, от 2.0.* до 2.2.2.
CVE-2023-5865Недостаточный срок действия сессии в репозитории GitHub thorsten/phpmyfaq до 3.2.2.
CVE-2023-5838Недостаточный срок действия сессии в репозитории GitHub linkstackorg/linkstack до v4.2.9.
CVE-2023-49091Cosmos предоставляет пользователям возможность самостоятельно размещать домашний сервер, выступая в качестве безопасного шлюза для вашего приложения, а также в качестве менеджера сервера. Cosmos-server уязвим из-за того, что заголовок авторизации, используемый для входа пользователя в систему, остается действительным и не истекает после выхода из системы. Эта уязвимость позволяет злоумышленнику использовать токен для получения несанкционированного доступа к приложению/системе даже после того, как пользователь вышел из системы. Эта проблема была исправлена в версии 0.13.1.
CVE-2023-46158IBM WebSphere Application Server Liberty 23.0.0.9–23.0.0.10 может обеспечивать более слабую, чем ожидалось, безопасность из-за неправильной обработки истечения срока действия ресурсов. IBM X-Force ID: 268775.
CVE-2023-45600Уязвимость CWE-613 «Недостаточный срок действия сессии» в веб-приложении, из-за того, что cookie сессии «sessionid» действует две недели, облегчает атаки перехвата сессии против жертв. Эта проблема затрагивает: AiLux imx6 bundle ниже версии imx6_1.0.7-2.
CVE-2023-40174Social media skeleton — это незавершенный/базовый проект социальной сети, реализованный с использованием php, css, javascript и html. Недостаточный срок действия сеанса — это уязвимость веб-приложения, которая возникает, когда веб-приложение не управляет должным образом жизненным циклом сеанса пользователя. Версии Social media skeleton до 1.0.5 не ограничивали должным образом управление жизненным циклом сеанса пользователя. Эта проблема была решена в версии 1.0.5, и пользователям рекомендуется обновиться. Не существует известных обходных путей для этой уязвимости.
CVE-2023-4005Недостаточный срок действия сессии в репозитории GitHub fossbilling/fossbilling до 0.5.5.
CVE-2023-35857В Siren Investigate до версии 13.2.2 ключи сеанса остаются активными даже после выхода из системы.
CVE-2023-28001Недостаточный срок действия сессии в Fortinet FortiOS 7.0.0 - 7.0.12 и 7.2.0 - 7.2.4 позволяет злоумышленнику выполнять несанкционированный код или команды, повторно используя сессию удаленного пользователя в REST API.