Podatność CVE-2018-1000519


Publikacja: 2018-06-26

Opis:
aio-libs aiohttp-session contains a Session Fixation vulnerability in load_session function for RedisStorage (see: https://github.com/aio-libs/aiohttp-session/blob/master/aiohttp_session/redis_storage.py#L42) that can result in Session Hijacking. This attack appear to be exploitable via Any method that allows setting session cookies (?session=<>, or meta tags or script tags with Set-Cookie).

Typ:

CWE-384

(Session Fixation)

CVSS2 => (AV:N/AC:M/Au:N/C:N/I:P/A:N)

Ogólna skala CVSS
Znaczenie
Łatwość wykorzystania
4.3/10
2.9/10
8.6/10
Wymagany dostęp
Złożoność ataku
Autoryzacja
Zdalny
Średnia
Nie wymagana
Wpływ na poufność
Wpływ na integralność
Wpływ na dostępność
Brak
Częściowy
Brak
Affected software
Aio-libs project -> Aiohttp 

 Referencje:
https://github.com/aio-libs/aiohttp-session/blob/master/aiohttp_session/redis_storage.py#L60
https://github.com/aio-libs/aiohttp-session/issues/272

Copyright 2024, cxsecurity.com

 

Back to Top