CVE-2026-25101
CriticalSummary
Bludit pozwala na ustawienie identyfikatora sesji użytkownika przed uwierzytelnieniem, a jego wartość pozostaje taka sama po uwierzytelnieniu. Taka sytuacja umożliwia atakującemu przypisanie identyfikatora sesji ofiary i późniejsze przejęcie uwierzytelnionej sesji.
Risk Assessment
Organizacja jest narażona na ryzyko przejęcia sesji użytkowników, co może prowadzić do nieautoryzowanego dostępu do danych i funkcji systemu. Atakujący może wykorzystać tę podatność do kradzieży tożsamości użytkowników.
Recommendation
Zaleca się aktualizację do wersji 3.17.2 lub nowszej, aby usunąć tę podatność. Dodatkowo, warto wdrożyć mechanizmy monitorowania sesji użytkowników w celu wykrywania podejrzanych działań.
Original NVD description (English source)
Bludit allows user's session identifier to be set before authentication. The value of this session ID stays the same after authentication. This behavior enables an attacker to fix a session ID for a victim and later hijack the authenticated session. This issue was fixed in version 3.17.2.

