V
Сканер-ВС
ENRU
ГлавнаяКаталогИсточникиCWECAPECATT&CKМеры защитыПродуктыВендорыДокументация
← Вернуться к списку
CWE-784ВариантЧерновик
Абстракция: Вариант
Статус: Черновик
Источник ↗

Опора на cookie-файлы без проверки и контроля целостности при принятии решений в сфере безопасности

Продукт использует механизм защиты, основанный на существовании или значениях cookie-файла, но не обеспечивает должным образом проверку допустимости cookie-файла для соответствующего пользователя.

Открыть в каталоге с фильтром CWE →

Связанные CAPEC

Связанные уязвимости

CVE-2023-3050Опора на файлы cookie без проверки и проверки целостности в уязвимости решения безопасности в TMT Lockcell позволяет злоупотребление привилегиями, обход аутентификации. Эта проблема затрагивает Lockcell: до 15.
CVE-2024-9820Плагин WP 2FA with Telegram для WordPress уязвим для обхода двухфакторной аутентификации в версиях до 3.0 включительно. Это связано с тем, что код двухфакторной аутентификации хранится в файле cookie, что позволяет обойти двухфакторную аутентификацию.
CVE-2023-4055Когда количество файлов cookie на домен превышает количество в `document.cookie`, актуальная панель куки, отправленная хосту, больше не будет соответствовать ожидаемому состоянию панели куки. Это может привести к тому, что запросы отправляются с пропущенными некоторыми файлами cookie. Эта уязвимость затрагивает Firefox < 116, Firefox ESR < 102.14 и Firefox ESR < 115.1.
CVE-2020-8184Уязвимость безопасности, связанная с использованием файлов cookie без проверки/контроля целостности, существует в rack < 2.2.3, rack < 2.1.4, что позволяет злоумышленнику подделать безопасный или только для хоста префикс cookie.
CVE-2022-40958Внедрив cookie с определенными специальными символами, злоумышленник в общем поддомене, который не является безопасным контекстом, может установить и, таким образом, перезаписать cookie из безопасного контекста, что приведет к фиксации сеанса и другим атакам. Эта уязвимость затрагивает Firefox ESR < 102.3, Thunderbird < 102.3 и Firefox < 105.
CVE-2022-3083Все версии Landis+Gyr E850 (ZMQ200) уязвимы для CWE-784: Зависимость от файлов cookie без проверки и целостности. Навигация веб-приложения устройства зависит от значения cookie сеанса. Веб-приложение может стать недоступным для пользователя, если злоумышленник изменит значения cookie.