Podatność CVE-2019-8978
Publikacja: 2019-05-14

Opis:
An improper authentication vulnerability can be exploited through a race condition that occurs in Ellucian Banner Web Tailor 8.8.3, 8.8.4, and 8.9 and Banner Enterprise Identity Services 8.3, 8.3.1, 8.3.2, and 8.4, in conjunction with SSO Manager. This vulnerability allows remote attackers to steal a victim's session (and cause a denial of service) by repeatedly requesting the initial Banner Web Tailor main page with the IDMSESSID cookie set to the victim's UDCID, which in the case tested is the institutional ID. During a login attempt by a victim, the attacker can leverage the race condition and will be issued the SESSID that was meant for this victim.

W naszej bazie, znaleźliśmy następujące noty dla tego CVE:
Tytuł
Autor
Data
Med.
Ellucian Banner Web Tailor / Banner Enterprise Identity Services Improper Authentication
Joshua Mulliken
14.05.2019

Typ:

CWE-362

CVSS2 => (AV:N/AC:M/Au:N/C:P/I:P/A:P)

Ogólna skala CVSS
Znaczenie
Łatwość wykorzystania
6.8/10
6.4/10
8.6/10
Wymagany dostęp
Złożoność ataku
Autoryzacja
Zdalny
Średnia
Nie wymagana
Wpływ na poufność
Wpływ na integralność
Wpływ na dostępność
Częściowy
Częściowy
Częściowy
Affected software
Ellucian -> Banner enterprise identity services 
Ellucian -> Banner web tailor 

 Referencje:
http://packetstormsecurity.com/files/152856/Ellucian-Banner-Web-Tailor-Banner-Enterprise-Identity-Services-Improper-Authentication.html
http://seclists.org/fulldisclosure/2019/May/18
https://ecommunities.ellucian.com/message/252749#252749
https://ecommunities.ellucian.com/message/252810#252810
https://raw.githubusercontent.com/JoshuaMulliken/CVE-2019-8978/master/README.txt
https://seclists.org/bugtraq/2019/May/31
Copyright 2024, cxsecurity.com

 

Back to Top