Katalog CVE

CVE-2009-10007

KrytyczneCVSS 9.1
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.03%

Percentyl 10 — wyżej niż 10% wszystkich znanych CVE

Streszczenie

Wersje Catalyst::Plugin::Authentication przed 0.10_027 dla Perla są podatne na ataki typu session fixation. Wtyczka nie zmienia automatycznie identyfikatora sesji po uwierzytelnieniu, co pozwala atakującemu na podszywanie się pod ofiarę.

Ocena ryzyka

Organizacja może być narażona na kradzież sesji użytkowników, co prowadzi do nieautoryzowanego dostępu do zasobów. Atakujący, posiadając identyfikator sesji, może przejąć kontrolę nad kontem ofiary.

Rekomendacja

Zaleca się aktualizację Catalyst::Plugin::Authentication do wersji 0.10_027 lub nowszej, aby zminimalizować ryzyko ataków typu session fixation. Dodatkowo, warto wdrożyć mechanizmy zmiany identyfikatora sesji po uwierzytelnieniu.

Oryginalny opis (angielski, źródło NVD)

Catalyst::Plugin::Authentication versions before 0.10_027 for Perl is susceptible to session fixation attacks. Catalyst::Plugin::Authentication does not automatically change the session id after authentication. An attacker that obtains a session id cookie can use this to impersonate the victim.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS