CVE-2025-69602
KrytyczneStreszczenie
W aplikacji 66biolinks v62.0.0 od AltumCode występuje podatność na fikcję sesji, ponieważ aplikacja nie regeneruje identyfikatora sesji po pomyślnej autoryzacji. To pozwala na ponowne użycie tego samego wartości ciasteczka sesji dla użytkowników logujących się z tej samej przeglądarki.
Ocena ryzyka
Atakujący, który może ustawić lub przewidzieć identyfikator sesji, ma możliwość przejęcia uwierzytelnionej sesji, co stwarza poważne zagrożenie dla bezpieczeństwa użytkowników.
Rekomendacja
Zaleca się implementację mechanizmu regeneracji identyfikatora sesji po każdej pomyślnej autoryzacji, aby zminimalizować ryzyko przejęcia sesji.
Oryginalny opis (angielski, źródło NVD)
A session fixation vulnerability exists in 66biolinks v62.0.0 by AltumCode, where the application does not regenerate the session identifier after successful authentication. As a result, the same session cookie value is reused for users logging in from the same browser, allowing an attacker who can set or predict a session ID to potentially hijack an authenticated session.

