Podatność CVE-2019-10045


Publikacja: 2019-05-31   Modyfikacja: 2019-06-01

Opis:
The "action" get_sess_id in the web application of Pydio through 8.2.2 discloses the session cookie value in the response body, enabling scripts to get access to its value. This identifier can be reused by an attacker to impersonate a user and perform actions on behalf of him/her (if the session is still active).

W naszej bazie, znaleźliśmy następujące noty dla tego CVE:
Tytuł
Autor
Data
High
Pydio 8 Command Execution / Cross Site Scripting
Leandro Cuozzo
29.03.2019

Typ:

CWE-384

(Session Fixation)

CVSS2 => (AV:N/AC:L/Au:N/C:P/I:P/A:N)

Ogólna skala CVSS
Znaczenie
Łatwość wykorzystania
6.4/10
4.9/10
10/10
Wymagany dostęp
Złożoność ataku
Autoryzacja
Zdalny
Niska
Nie wymagana
Wpływ na poufność
Wpływ na integralność
Wpływ na dostępność
Częściowy
Częściowy
Brak
Affected software
Pydio -> Pydio 

 Referencje:
https://www.secureauth.com/labs/advisories

Copyright 2024, cxsecurity.com

 

Back to Top