Katalog CVE

CVE-2026-25101

Krytyczne
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

Bludit pozwala na ustawienie identyfikatora sesji użytkownika przed uwierzytelnieniem, a jego wartość pozostaje taka sama po uwierzytelnieniu. Taka sytuacja umożliwia atakującemu przypisanie identyfikatora sesji ofiary i późniejsze przejęcie uwierzytelnionej sesji.

Ocena ryzyka

Organizacja jest narażona na ryzyko przejęcia sesji użytkowników, co może prowadzić do nieautoryzowanego dostępu do danych i funkcji systemu. Atakujący może wykorzystać tę podatność do kradzieży tożsamości użytkowników.

Rekomendacja

Zaleca się aktualizację do wersji 3.17.2 lub nowszej, aby usunąć tę podatność. Dodatkowo, warto wdrożyć mechanizmy monitorowania sesji użytkowników w celu wykrywania podejrzanych działań.

Oryginalny opis (angielski, źródło NVD)

Bludit allows user's session identifier to be set before authentication. The value of this session ID stays the same after authentication. This behavior enables an attacker to fix a session ID for a victim and later hijack the authenticated session. This issue was fixed in version 3.17.2.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS