Katalog CVE

CVE-2023-33847

NiskieCVSS 3.7
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.63%

Percentyl 45 — wyżej niż 45% wszystkich znanych CVE

Streszczenie

IBM TXSeries dla wielu platform w wersjach 8.1, 8.2, 9.1 oraz CICS TX Standard i Advanced w wersjach 10.1 i 11.1 nie ustawia atrybutu secure dla tokenów autoryzacyjnych i ciasteczek sesyjnych. To może umożliwić atakującym przechwycenie wartości ciasteczek poprzez wysłanie linku HTTP do użytkownika.

Ocena ryzyka

Brak atrybutu secure naraża organizację na ryzyko przechwycenia sesji przez atakujących, co może prowadzić do nieautoryzowanego dostępu do danych użytkowników.

Rekomendacja

Zaleca się aktualizację do najnowszej wersji oprogramowania, która ustawia atrybut secure dla tokenów i ciasteczek, aby zminimalizować ryzyko przechwycenia.

Oryginalny opis (angielski, źródło NVD)

IBM TXSeries for Multiplatforms 8.1, 8.2, 9.1, CICS TX Standard, 11.1, CICS TX Advanced 10.1, and 11.1 does not set the secure attribute on authorization tokens or session cookies. Attackers may be able to get the cookie values by sending a http:// link to a user or by planting this link in a site the user goes to. The cookie will be sent to the insecure link and the attacker can then obtain the cookie value by snooping the traffic. IBM X-Force ID: 257102.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS