Katalog CVE
CVE-2026-40010
KrytyczneStreszczenie
Brak wywołania metody zmiany identyfikatora sesji po powiązaniu sesji w Apache Wicket może być wykorzystany do ataku typu session fixation.
Ocena ryzyka
Atakujący może przejąć kontrolę nad sesją użytkownika, co prowadzi do potencjalnego wycieku danych lub nieautoryzowanego dostępu.
Rekomendacja
Zaleca się aktualizację do wersji 10.9.0, która naprawia tę podatność.
Oryginalny opis (angielski, źródło NVD)
Missing invocation of Servlet http web request method changeSessionId after session binding can be exploited for a session fixation attack in Apache Wicket. This issue affects Apache Wicket: from 8.0.0 through 8.17.0, 9.0.0, from 10.0.0 through 10.8.0. Users are recommended to upgrade to version 10.9.0, which fixes the issue.

