CVE-2021-47923
KrytyczneStreszczenie
OpenCart w wersji 3.0.3.8 zawiera podatność na fikcję sesji, która pozwala atakującym na przejęcie sesji użytkowników poprzez wstrzykiwanie dowolnych wartości do ciasteczka OCSESSID. Atakujący mogą ustawić złośliwe wartości ciasteczka OCSESSID, które serwer akceptuje i utrzymuje, co umożliwia przejęcie sesji i nieautoryzowany dostęp do kont użytkowników.
Ocena ryzyka
Podatność ta stwarza ryzyko przejęcia kont użytkowników, co może prowadzić do utraty danych oraz naruszenia prywatności. Organizacje powinny być świadome potencjalnych konsekwencji związanych z nieautoryzowanym dostępem do kont.
Rekomendacja
Zaleca się aktualizację OpenCart do najnowszej wersji, aby usunąć tę podatność. Dodatkowo, warto wdrożyć mechanizmy zabezpieczające sesje użytkowników, takie jak regeneracja identyfikatorów sesji po logowaniu.
Oryginalny opis (angielski, źródło NVD)
OpenCart 3.0.3.8 contains a session fixation vulnerability that allows attackers to hijack user sessions by injecting arbitrary values into the OCSESSID cookie. Attackers can set malicious OCSESSID cookie values that the server accepts and maintains, enabling session takeover and unauthorized access to user accounts.

