Katalog CVE

CVE-2026-23796

Krytyczne
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

Quick.Cart pozwala na ustawienie identyfikatora sesji użytkownika przed uwierzytelnieniem, co skutkuje tym, że wartość tego identyfikatora pozostaje taka sama po uwierzytelnieniu. Taka sytuacja umożliwia atakującemu przypisanie identyfikatora sesji ofiary i późniejsze przejęcie uwierzytelnionej sesji.

Ocena ryzyka

Organizacja jest narażona na ryzyko przejęcia sesji użytkowników, co może prowadzić do nieautoryzowanego dostępu do danych i funkcji systemu. Atakujący może wykorzystać tę podatność do manipulacji kontami użytkowników.

Rekomendacja

Zaleca się aktualizację do najnowszej wersji Quick.Cart oraz monitorowanie sesji użytkowników w celu wykrycia podejrzanych działań. Należy również rozważyć dodatkowe mechanizmy zabezpieczające sesje użytkowników.

Oryginalny opis (angielski, źródło NVD)

Quick.Cart allows a user's session identifier to be set before authentication. The value of this session ID stays the same after authentication. This behaviour enables an attacker to fix a session ID for a victim and later hijack the authenticated session. The vendor was notified early about this vulnerability, but didn't respond with the details of vulnerability or vulnerable version range. Only version 6.7 was tested and confirmed as vulnerable, other versions were not tested and might also be vulnerable.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS