CVE-2026-1697
ŚrednieCVSS 6.5Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 2 - wyżej niż 2% wszystkich znanych CVE
Streszczenie
W aplikacjach webowych GraphicalData i WebClient oprogramowania PcVue w wersjach od 12.0.0 do 16.3.3 brakuje atrybutów Secure i SameSite w ciasteczkach. Umożliwia to ataki przechwytywania sesji oraz ataki CSRF.
Ocena ryzyka
Brak tych atrybutów naraża organizację na kradzież sesji użytkowników oraz nieautoryzowane operacje w kontekście ich sesji, co może prowadzić do wycieku danych lub przejęcia kont.
Rekomendacja
Należy zaktualizować PcVue do wersji nowszej niż 16.3.3, w której dodano brakujące atrybuty Secure i SameSite. Jeśli aktualizacja nie jest możliwa, skonfiguruj serwer WWW tak, aby wymuszał te atrybuty.
Oryginalny opis (angielski, źródło NVD)
The Secure and SameSite attribute are missing in the GraphicalData web services and WebClient web app of PcVue in version 12.0.0 through 16.3.3 included.

