CVE-2025-26844
CVE-2025-26844
En resumen
Znuny establece cookies sin la marca HttpOnly, permitiendo que código JavaScript en páginas web acceda a cookies de sesión sensibles. Esto permite que atacantes roben sesiones de usuarios a través de scripts, incluso si hay otras protecciones en lugar.
Detalle técnico
La marca HttpOnly está ausente de la configuración de cookies en Znuny ≤7.1.3, permitiendo que scripts del lado del cliente accedan a tokens de autenticación mediante APIs de JavaScript. Un atacante puede explotar vulnerabilidades XSS o scripts maliciosos para exfiltrar cookies de sesión, resultando en acceso no autorizado a la cuenta sin requerir interacción en el servidor.
Resumen generado y traducido por IA a partir de la descripción oficial.
An issue was discovered in Znuny through 7.1.3. A cookie is set without the HttpOnly flag.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Productos afectados
n/a · n/a¿Quieres saber si tu infraestructura está expuesta a esto?
Hablar con TrueHacking →