libcurl может в некоторых обстоятельствах повторно использовать неправильную связь, когда его просят сделать аутентифицированный запрос HTT…
libcurl может в некоторых обстоятельствах повторно использовать неправильную связь, когда его просят сделать аутентифицированный запрос HTTP(S) после аутентифицированного переговорщика, когда Оба используют один и тот же хост. libcurl имеет пул последних подключений, чтобы последующие запросы могли повторно использовать существующее соединение, чтобы избежать накладных. При повторном использовании соединения необходимо выполнить ряд критериев. В силу логического ошибка в коде, запрос, который был выдан приложением, может неправомерно повторно использовать существующее соединение с тем же сервером, который был аутентифицировано с использованием различных учетных данных. Приложение, которое сначала использует аутентификацию переговорного запроса на сервер с `user1:password1` и затем выполняет другую операцию на том же сервере, который спрашивает для любого метода аутентификации, но для `user2:password2` (в то время как предыдущий соединение все еще живо) - второй запрос запутывается и неправильно повторно использует то же соединение и отправляет новый запрос по этому соединению думая, что он использует сочетание учетных данных пользователя и пользователя2, когда это на самом деле все еще с использованием подключения, аутентифицированного для пользователя1...
По определению WASC, «недостаточное истечение сессии возникает, когда веб-сайт позволяет злоумышленнику повторно использовать старые учётные данные сессии или идентификаторы сессии для авторизации».
https://cwe.mitre.org/data/definitions/613.html →Открыть в коллекции CWE →