CVE-2023-53957
CriticalSummary
Kimai w wersji 1.30.10 zawiera podatność na ciasteczka SameSite, która umożliwia atakującym kradzież ciasteczek sesyjnych użytkowników poprzez złośliwe wykorzystanie. Atakujący mogą oszukać ofiary, aby wykonały spreparowany skrypt PHP, który przechwytuje i zapisuje informacje o ciasteczkach sesyjnych do pliku.
Risk Assessment
Podatność ta stwarza ryzyko przejęcia sesji użytkowników, co może prowadzić do nieautoryzowanego dostępu do kont i danych wrażliwych. Organizacje powinny być świadome potencjalnych konsekwencji związanych z bezpieczeństwem danych.
Recommendation
Zaleca się aktualizację do najnowszej wersji Kimai, aby usunąć tę podatność. Dodatkowo, warto wprowadzić dodatkowe środki zabezpieczające, takie jak monitorowanie sesji i weryfikacja ciasteczek.
Original NVD description (English source)
Kimai 1.30.10 contains a SameSite cookie vulnerability that allows attackers to steal user session cookies through malicious exploitation. Attackers can trick victims into executing a crafted PHP script that captures and writes session cookie information to a file, enabling potential session hijacking.

