Katalog CVE

CVE-2026-40010

Krytyczne
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

Brak wywołania metody zmiany identyfikatora sesji po powiązaniu sesji w Apache Wicket może być wykorzystany do ataku typu session fixation.

Ocena ryzyka

Atakujący może przejąć kontrolę nad sesją użytkownika, co prowadzi do potencjalnego wycieku danych lub nieautoryzowanego dostępu.

Rekomendacja

Zaleca się aktualizację do wersji 10.9.0, która naprawia tę podatność.

Oryginalny opis (angielski, źródło NVD)

Missing invocation of Servlet http web request method changeSessionId after session binding can be exploited for a session fixation attack in Apache Wicket. This issue affects Apache Wicket: from 8.0.0 through 8.17.0, 9.0.0, from 10.0.0 through 10.8.0. Users are recommended to upgrade to version 10.9.0, which fixes the issue.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS