CVE-2021-42115
Missing HTTPOnly flag on sensitive cookie in TopEase
En resumen
Una cookie sensible en la plataforma TopEase carece de la bandera HTTPOnly, permitiendo que atacantes la roben mediante JavaScript y secuestren cuentas de usuarios. Esta vulnerabilidad permite que usuarios no autenticados obtengan acceso autenticado inyectando una cookie robada.
Detalle técnico
La cookie UID estática e independiente de sesión carece de la bandera HTTPOnly, permitiendo ataques XSS para exfiltrar la cookie mediante JavaScript. Un atacante no autenticado puede robar y reproducir esta cookie para escalar privilegios de usuario no autenticado a autenticado en versiones ≤7.1.27 de la plataforma TopEase.
Resumen generado y traducido por IA a partir de la descripción oficial.
Missing HTTPOnly flag in Web Applications operating on Business-DNA Solutions GmbH’s TopEase® Platform Version <= 7.1.27 allows an unauthenticated remote attacker to escalate privileges from unauthenticated to authenticated user via stealing and injecting the session- independent and static cookie UID.
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:N
Productos afectados
Business-DNA Solutions GmbH · TopEase¿Quieres saber si tu infraestructura está expuesta a esto?
Hablar con TrueHacking →