IBM Planning Analytics Local 2.0 и 2.1 не признает недействительным сеанс после выхода из системы, что может позволить прошедшему проверку …
IBM Planning Analytics Local 2.0 и 2.1 не признает недействительным сеанс после выхода из системы, что может позволить прошедшему проверку подлинности пользователю выдать себя за другого пользователя в системе. Уязвимость связана с недостаточным сроком действия сеанса (CWE-613). Базовый балл CVSS составляет 6,3, что указывает на среднюю степень серьезности. Для устранения этой уязвимости рекомендуется применить последние обновления безопасности. Для версии 2.1 необходимо загрузить IBM Planning Analytics Local 2.1.11 из Fix Central, а для версии 2.0 - IBM Planning Analytics Local v2.0: Planning Analytics Workspace Release 104. Других мер по устранению или смягчению последствий не предусмотрено [1]. Источники: - [1] https://www.ibm.com/support/pages/node/7235182
По определению WASC, «недостаточное истечение сессии возникает, когда веб-сайт позволяет злоумышленнику повторно использовать старые учётные данные сессии или идентификаторы сессии для авторизации».
https://cwe.mitre.org/data/definitions/613.html →Открыть в коллекции CWE →| Продукт | Вендор | Статус |
|---|---|---|
| planning_analytics_local | * | Отслеживается |