CVE-2023-53957
Kimai 1.30.10 SameSite Cookie Vulnerability Session Hijacking
En resumen
Kimai 1.30.10 no protege adecuadamente las cookies de sesión, permitiendo que atacantes las roben mediante un engaño que hace que las víctimas ejecuten código malicioso. Esto permite que los atacantes secuestren sesiones de usuario y se hagan pasar por ellos.
Detalle técnico
La aplicación carece de atributos SameSite apropiados en las cookies, lo que permite ataques de falsificación de solicitud entre sitios (CSRF) donde las víctimas son engañadas para ejecutar scripts PHP maliciosos que capturan cookies de sesión. Un atacante puede aprovechar esto para realizar acciones no autorizadas en nombre de usuarios autenticados.
Resumen generado y traducido por IA a partir de la descripción oficial.
Kimai 1.30.10 contains a SameSite cookie vulnerability that allows attackers to steal user session cookies through malicious exploitation. Attackers can trick victims into executing a crafted PHP script that captures and writes session cookie information to a file, enabling potential session hijacking.
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:A/VC:H/VI:H/VA:N/SC:N/SI:N/SA:N
Productos afectados
Kimai · Kimai¿Quieres saber si tu infraestructura está expuesta a esto?
Hablar con TrueHacking →