Listmonk - это автономный, самостоятельно размещенный, информационный бюллетень и менеджер по рассылке. От версии 4.1.0 до версии 6.1.0, уя…
Listmonk - это автономный, самостоятельно размещенный, информационный бюллетень и менеджер по рассылке. От версии 4.1.0 до версии 6.1.0, уязвимость управления сеансом позволяет ранее выпущенным аутентифицированным сеансам оставаться действительными после конфиденциальных изменений безопасности учетной записи, в частности, сброса пароля и смены пароля. В результате злоумышленник, который уже получил действительный сеансовый файл cookie, может сохранить доступ к учетной записи даже после того, как жертва изменит или сбросит свой пароль. Это ослабляет гарантии восстановления счетов и безопасности сеансов. Этот вопрос был исправлен в версии 6.1.0.
По определению WASC, «недостаточное истечение сессии возникает, когда веб-сайт позволяет злоумышленнику повторно использовать старые учётные данные сессии или идентификаторы сессии для авторизации».
https://cwe.mitre.org/data/definitions/613.html →Открыть в коллекции CWE →