IBM Sterling B2B Integrator и IBM Sterling File Gateway 6.0.0.0 до 6.1.2.7 и 6.2.0.0-6.2.0.5 и 6.2.0.5 и 6.2.2.1.1.1 могут раскрывать конфи…
IBM Sterling B2B Integrator и IBM Sterling File Gateway 6.0.0.0 до 6.1.2.7 и 6.2.0.0-6.2.0.5 и 6.2.0.5 и 6.2.2.1.1.1 могут раскрывать конфиденциальную информацию из-за отсутствующего или небезопасного атрибута SameSite для чувствительного файла cookie.
Атрибут SameSite для чувствительных файлов cookie не установлен или задано небезопасное значение.
https://cwe.mitre.org/data/definitions/1275.html →Открыть в коллекции CWE →Злоумышленник создаёт вредоносные веб-ссылки и распространяет их (через веб-страницы, электронную почту и т. п.), как правило, целенаправленно, рассчитывая побудить пользователей перейти по ссылке и выполнить вредоносное действие в отношении стороннего приложения. В случае успеха действие, встроенное во вредоносную ссылку, будет обработано и принято целевым приложением с уровнем привилегий пользователя. Данный тип атаки эксплуатирует постоянство и неявное доверие к сеансовым cookie-файлам пользователей, на которые опираются многие современные веб-приложения. В такой архитектуре после аутентификации пользователя в приложении и создания сеансового cookie-файла в его системе все последующие транзакции в рамках сеанса аутентифицируются с использованием этого cookie-файла, включая потенциальные действия, инициированные злоумышленником и просто «эксплуатирующие» существующий сеансовый cookie.
https://capec.mitre.org/data/definitions/62.html →Открыть в коллекции CAPEC →| Продукт | Вендор | Статус |
|---|---|---|
| sterling_b2b_integrator | * | Отслеживается |
| sterling_file_gateway | * | Отслеживается |