CVE-2022-38386

IBM Cloud Pak for Security information disclosure

CVSS 5.9 MEDIUMEPSS 0.5%CWE-1275

En resumen

IBM Cloud Pak for Security y QRadar Suite no protegen adecuadamente las cookies sensibles al no configurar el atributo SameSite, permitiendo que los atacantes intercepten esta información mediante ataques man-in-the-middle.

Detalle técnico

La vulnerabilidad proviene de la ausencia del atributo SameSite en cookies sensibles en IBM Cloud Pak for Security (versiones 1.10.0.0–1.10.11.0) e IBM QRadar Suite (versiones 1.10.12.0–1.10.19.0). Un atacante en la ruta de red puede capturar cookies de sesión durante la transmisión y obtener acceso no autorizado.

Resumen generado y traducido por IA a partir de la descripción oficial.

IBM Cloud Pak for Security (CP4S) 1.10.0.0 through 1.10.11.0 and IBM QRadar Suite for Software 1.10.12.0 through 1.10.19.0 does not set the SameSite attribute for sensitive cookies which could allow an attacker to obtain sensitive information using man-in-the-middle techniques. IBM X-Force ID: 233778.

CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:N/A:N

Productos afectados

IBM · Cloud Pak for Security IBM · QRadar Suite for Software

¿Quieres saber si tu infraestructura está expuesta a esto?

Hablar con TrueHacking →

Referencias

https://exchange.xforce.ibmcloud.com/vulnerabilities/233778 https://www.ibm.com/support/pages/node/7149811