CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2023-53957

Critical
Published: Translated: NVD NIST

Summary

Kimai w wersji 1.30.10 zawiera podatność na ciasteczka SameSite, która umożliwia atakującym kradzież ciasteczek sesyjnych użytkowników poprzez złośliwe wykorzystanie. Atakujący mogą oszukać ofiary, aby wykonały spreparowany skrypt PHP, który przechwytuje i zapisuje informacje o ciasteczkach sesyjnych do pliku.

Risk Assessment

Podatność ta stwarza ryzyko przejęcia sesji użytkowników, co może prowadzić do nieautoryzowanego dostępu do kont i danych wrażliwych. Organizacje powinny być świadome potencjalnych konsekwencji związanych z bezpieczeństwem danych.

Recommendation

Zaleca się aktualizację do najnowszej wersji Kimai, aby usunąć tę podatność. Dodatkowo, warto wprowadzić dodatkowe środki zabezpieczające, takie jak monitorowanie sesji i weryfikacja ciasteczek.

Original NVD description (English source)

Kimai 1.30.10 contains a SameSite cookie vulnerability that allows attackers to steal user session cookies through malicious exploitation. Attackers can trick victims into executing a crafted PHP script that captures and writes session cookie information to a file, enabling potential session hijacking.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS