CVE-2022-32778

CVSS 7.5 HIGHEPSS 2.0%CWE-732

En resumen

Las cookies en WWBN AVideo 11.6 carecen de banderas de seguridad, permitiendo que los atacantes roben información de sesión y contraseña mediante JavaScript o conexiones sin cifrar. Esto podría permitir que alguien secuestre cuentas de usuario o acceda a contenido protegido.

Detalle técnico

Las cookies de sesión y contraseña carecen de la bandera HttpOnly, haciéndolas accesibles a ataques basados en XSS. La cookie de sesión además carece de la bandera Secure, permitiendo intercepción en canales no-HTTPS. Un atacante puede explotar estas protecciones ausentes para exfiltrar tokens de autenticación y hashes de contraseña.

Resumen generado y traducido por IA a partir de la descripción oficial.

An information disclosure vulnerability exists in the cookie functionality of WWBN AVideo 11.6 and dev master commit 3f7c0364. The session cookie and the pass cookie miss the HttpOnly flag, making them accessible via JavaScript. The session cookie also misses the secure flag, which allows the session cookie to be leaked over non-HTTPS connections. This could allow an attacker to steal the session cookie via crafted HTTP requests.This vulnerability is for the pass cookie, which contains the hashed password and can be leaked via JavaScript.

CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N

Productos afectados

WWBN · AVideo

¿Quieres saber si tu infraestructura está expuesta a esto?

Hablar con TrueHacking →

Referencias

https://github.com/WWBN/AVideo/blob/e04b1cd7062e16564157a82bae389eedd39fa088/updatedb/updateDb.v12.0.sql https://talosintelligence.com/vulnerability_reports/TALOS-2022-1542