CVE-2024-1509
KrytyczneStreszczenie
Interfejs webowy Brocade ASCG przed wersją 3.2.0 nie wymusza HSTS, co jest zgodne z RFC 6797. Brak HSTS umożliwia ataki downgrade, ataki typu SSL-stripping oraz osłabia ochronę przed kradzieżą ciasteczek.
Ocena ryzyka
Brak wymuszenia HSTS zwiększa ryzyko ataków typu man-in-the-middle oraz może prowadzić do przechwytywania danych użytkowników. Organizacja jest narażona na poważne zagrożenia związane z bezpieczeństwem komunikacji.
Rekomendacja
Zaleca się aktualizację do wersji 3.2.0 lub nowszej, aby włączyć HSTS i zabezpieczyć komunikację poprzez HTTPS. Dodatkowo, warto rozważyć implementację dodatkowych środków ochrony przed atakami typu man-in-the-middle.
Oryginalny opis (angielski, źródło NVD)
Brocade ASCG before 3.2.0 Web Interface is not enforcing HSTS, as defined by RFC 6797. HSTS is an optional response header that can be configured on the server to instruct the browser to only communicate via HTTPS. The lack of HSTS allows downgrade attacks, SSL-stripping man-in-the-middle attacks, and weakens cookie-hijacking protections.

