Неправильная обработка токена аутентификации в клиенте Amazon WorkSpaces для Linux, версии 2023.0 до 2024.8, может предоставить токен аутен…
Неправильная обработка токена аутентификации в клиенте Amazon WorkSpaces для Linux, версии 2023.0 до 2024.8, может предоставить токен аутентификации для DCV WorkSpace другим локализованным пользователям на той же клиентской машине. При определенных обстоятельствах локальный пользователь может извлечь токен аутентификации другого локального пользователя из общей клиентской машины и получить доступ к их WorkSpace. Чтобы смягчить эту проблему, пользователи должны обновиться до клиента Amazon WorkSpaces для Linux версии 2025.0 или более поздних версий.
Продукт не предотвращает должным образом доступ неавторизованных субъектов к чувствительной системной информации, которые не имеют того же уровня доступа к базовой системе, что и сам продукт.
https://cwe.mitre.org/data/definitions/497.html →Открыть в коллекции CWE →Злоумышленник направляет серию зондирующих запросов к веб-приложению для получения поведения, зависящего от версии и типа, помогающего идентифицировать цель. Злоумышленник может получить сведения, такие как версии программного обеспечения, страницы ошибок и заголовки ответов, различия в реализациях протокола HTTP, структуры каталогов и иную аналогичную информацию о целевом сервисе. Эта информация может использоваться злоумышленником для формирования целенаправленного плана атаки. Хотя снятие отпечатка веб-приложения само по себе не направлено на нанесение ущерба (хотя отдельные действия, такие как сетевое сканирование, иногда случайно могут вызывать сбои в работе уязвимых приложений), оно нередко прокладывает путь для более разрушительных атак.
https://capec.mitre.org/data/definitions/170.html →Открыть в коллекции CAPEC →Нет описания в исходных данных.
https://capec.mitre.org/data/definitions/694.html →Открыть в коллекции CAPEC →