Недостаток был найден в Red Hat Quay. Когда Red Hat Quay запрашивает повторную проверку пароля для чувствительных операций, таких как генер…
Недостаток был найден в Red Hat Quay. Когда Red Hat Quay запрашивает повторную проверку пароля для чувствительных операций, таких как генерация токенов или создание учетной записи робота, можно обойти по запросу повторной аутентификации. Это позволяет пользователю с сеансом замедленного действия или злоумышленнику с доступом к сеансу аутентификации браузера выполнять привилегированные действия без предоставления действительных учетных данных. Уязвимость позволяет несанкционированное выполнение конфиденциальных операций, несмотря на то, что пользовательский интерфейс отображает ошибку для недействительных учетных данных.
По определению WASC, «недостаточное истечение сессии возникает, когда веб-сайт позволяет злоумышленнику повторно использовать старые учётные данные сессии или идентификаторы сессии для авторизации».
https://cwe.mitre.org/data/definitions/613.html →Открыть в коллекции CWE →