CVE-2026-12581
WysokieCVSS 7.5Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 21 - wyżej niż 21% wszystkich znanych CVE
Streszczenie
EasyFlow .NET opracowany przez Digiwin ma podatność na atak typu Session Fixation. Nieautoryzowani zdalni atakujący mogą zastąpić określony identyfikator sesji użytkownika, co pozwala im uzyskać uprawnienia użytkownika po jego zalogowaniu.
Ocena ryzyka
Atakujący mogą przejąć kontrolę nad kontem użytkownika, co prowadzi do nieautoryzowanego dostępu do danych i funkcji systemu. To może skutkować poważnymi konsekwencjami dla bezpieczeństwa organizacji.
Rekomendacja
Zaleca się implementację mechanizmów ochrony przed atakami typu Session Fixation, takich jak regeneracja identyfikatorów sesji po zalogowaniu. Należy również monitorować i analizować logi sesji użytkowników.
Oryginalny opis (angielski, źródło NVD)
EasyFlow .NET developed by Digiwin has a Session Fixation vulnerability. If unauthenticated remote attackers replace a specific session ID for a user, they can gain the user's privilege once the user logs in.

