Katalog CVE

CVE-2025-69602

Krytyczne
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

W aplikacji 66biolinks v62.0.0 od AltumCode występuje podatność na fikcję sesji, ponieważ aplikacja nie regeneruje identyfikatora sesji po pomyślnej autoryzacji. To pozwala na ponowne użycie tego samego wartości ciasteczka sesji dla użytkowników logujących się z tej samej przeglądarki.

Ocena ryzyka

Atakujący, który może ustawić lub przewidzieć identyfikator sesji, ma możliwość przejęcia uwierzytelnionej sesji, co stwarza poważne zagrożenie dla bezpieczeństwa użytkowników.

Rekomendacja

Zaleca się implementację mechanizmu regeneracji identyfikatora sesji po każdej pomyślnej autoryzacji, aby zminimalizować ryzyko przejęcia sesji.

Oryginalny opis (angielski, źródło NVD)

A session fixation vulnerability exists in 66biolinks v62.0.0 by AltumCode, where the application does not regenerate the session identifier after successful authentication. As a result, the same session cookie value is reused for users logging in from the same browser, allowing an attacker who can set or predict a session ID to potentially hijack an authenticated session.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS