CVE-2020-36948
CriticalSummary
VestaCP w wersji 0.9.8-26 zawiera podatność na token sesji w module LoginAs, która pozwala zdalnym atakującym na manipulację tokenami uwierzytelniającymi. Atakujący mogą wykorzystać niewystarczającą walidację tokenów do uzyskania dostępu do kont użytkowników i wykonywania nieautoryzowanych żądań logowania bez odpowiednich uprawnień administracyjnych.
Risk Assessment
Podatność ta stwarza ryzyko nieautoryzowanego dostępu do kont użytkowników, co może prowadzić do utraty danych lub naruszenia bezpieczeństwa systemu. Organizacje mogą być narażone na ataki, które mogą skutkować poważnymi konsekwencjami finansowymi i reputacyjnymi.
Recommendation
Zaleca się aktualizację VestaCP do najnowszej wersji, aby usunąć tę podatność. Dodatkowo, warto wprowadzić dodatkowe mechanizmy zabezpieczeń, takie jak monitorowanie logów i weryfikacja sesji użytkowników.
Original NVD description (English source)
VestaCP 0.9.8-26 contains a session token vulnerability in the LoginAs module that allows remote attackers to manipulate authentication tokens. Attackers can exploit insufficient token validation to access user accounts and perform unauthorized login requests without proper administrative permissions.

