CVE-2025-36359
WysokieCVSS 8.1Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 10 — wyżej niż 10% wszystkich znanych CVE
Streszczenie
Podatność w IBM DevOps Automation 1.0.1 i IBM DevOps Loop 1.0.2 polega na braku unieważniania identyfikatorów sesji po ich wygaśnięciu. Umożliwia to uwierzytelnionemu użytkownikowi podszycie się pod innego użytkownika systemu.
Ocena ryzyka
Ryzyko polega na możliwości przejęcia sesji innego użytkownika, co może prowadzić do nieautoryzowanego dostępu do danych i operacji w systemie DevOps.
Rekomendacja
Zaleca się natychmiastową aktualizację do wersji, w której poprawiono unieważnianie sesji, oraz wdrożenie mechanizmów wymuszających ponowne uwierzytelnienie po wygaśnięciu sesji.
Oryginalny opis (angielski, źródło NVD)
IBM DevOps Automation 1.0.1 and IBM DevOps Loop 1.0.2 does not invalidate session IDs after expiration which could allow an authenticated user to impersonate another user on the system.

