CVE-2025-51306
CVE-2025-51306
En resumen
En Gatling Enterprise (versiones anteriores a 1.25.0), cuando un usuario cierra sesión, su token de sesión permanece válido y puede usarse para acceder a la aplicación normalmente. El cierre de sesión no finaliza realmente el acceso.
Detalle técnico
Gatling Enterprise anterior a la versión 1.25.0 contiene invalidación inadecuada de sesión (CWE-1259). El mecanismo de logout no expira ni revoca el token de sesión, permitiendo que un atacante con un token capturado mantenga acceso no autorizado incluso después del cierre de sesión del usuario legítimo. La superficie de ataque se limita a usuarios con tokens válidos.
Resumen generado y traducido por IA a partir de la descripción oficial.
In Gatling Enterprise versions below 1.25.0, a user logging-out can still use his session token to continue using the application without expiration, due to incorrect session management.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:N
Productos afectados
n/a · n/a¿Quieres saber si tu infraestructura está expuesta a esto?
Hablar con TrueHacking →Referencias
https://gatling.io/productshttps://github.com/Flo354/vulnerabilities/blob/main/gatling-enterprise/CVE-2025-51306-broken-logout.mdhttps://github.com/Flo354/vulnerabilities/blob/main/gatling-enterprise/CVE-2025-51306-change-permissions-not-reflected.mdhttps://github.com/Flo354/vulnerabilities/tree/main/gatling-enterprise