HCL BigFix Compliance уязвим к неправильному или отсутствующему атрибуту SameSite, что может привести к атакам CSRF, когда вредоносный сайт…
HCL BigFix Compliance уязвим к неправильному или отсутствующему атрибуту SameSite, что может привести к атакам CSRF, когда вредоносный сайт может обмануть браузер пользователя, заставив его выполнить непреднамеренные запросы с использованием аутентифицированных сессий [1]. Источники: - [1] https://support.hcl-software.com/csm?id=kb_article&sysparm_article=KB0120961
Атрибут SameSite для чувствительных файлов cookie не установлен или задано небезопасное значение.
https://cwe.mitre.org/data/definitions/1275.html →Открыть в коллекции CWE →Злоумышленник создаёт вредоносные веб-ссылки и распространяет их (через веб-страницы, электронную почту и т. п.), как правило, целенаправленно, рассчитывая побудить пользователей перейти по ссылке и выполнить вредоносное действие в отношении стороннего приложения. В случае успеха действие, встроенное во вредоносную ссылку, будет обработано и принято целевым приложением с уровнем привилегий пользователя. Данный тип атаки эксплуатирует постоянство и неявное доверие к сеансовым cookie-файлам пользователей, на которые опираются многие современные веб-приложения. В такой архитектуре после аутентификации пользователя в приложении и создания сеансового cookie-файла в его системе все последующие транзакции в рамках сеанса аутентифицируются с использованием этого cookie-файла, включая потенциальные действия, инициированные злоумышленником и просто «эксплуатирующие» существующий сеансовый cookie.
https://capec.mitre.org/data/definitions/62.html →Открыть в коллекции CAPEC →