IBM Cloud Pak for Security (CP4S) 1.10.0.0–1.10.11.0 и IBM QRadar Suite for Software 1.10.12.0–1.10.19.0 не устанавливают атрибут SameSite …
IBM Cloud Pak for Security (CP4S) 1.10.0.0–1.10.11.0 и IBM QRadar Suite for Software 1.10.12.0–1.10.19.0 не устанавливают атрибут SameSite для конфиденциальных файлов cookie, что может позволить злоумышленнику получить конфиденциальную информацию, используя методы «человек посередине». IBM X-Force ID: 233778.
Атрибут SameSite для чувствительных файлов cookie не установлен или задано небезопасное значение.
https://cwe.mitre.org/data/definitions/1275.html →Открыть в коллекции CWE →Злоумышленник создаёт вредоносные веб-ссылки и распространяет их (через веб-страницы, электронную почту и т. п.), как правило, целенаправленно, рассчитывая побудить пользователей перейти по ссылке и выполнить вредоносное действие в отношении стороннего приложения. В случае успеха действие, встроенное во вредоносную ссылку, будет обработано и принято целевым приложением с уровнем привилегий пользователя. Данный тип атаки эксплуатирует постоянство и неявное доверие к сеансовым cookie-файлам пользователей, на которые опираются многие современные веб-приложения. В такой архитектуре после аутентификации пользователя в приложении и создания сеансового cookie-файла в его системе все последующие транзакции в рамках сеанса аутентифицируются с использованием этого cookie-файла, включая потенциальные действия, инициированные злоумышленником и просто «эксплуатирующие» существующий сеансовый cookie.
https://capec.mitre.org/data/definitions/62.html →Открыть в коллекции CAPEC →| Продукт | Вендор | Статус |
|---|---|---|
| cloud_pak_for_security | * | Отслеживается |
| qradar_suite | * | Отслеживается |