CVE-2025-52628
HCL AION is susceptible to Missing SameSite vulnerability
En resumen
HCL AION 2.0 no protege adecuadamente las cookies, permitiendo que se envíen en solicitudes de otros sitios, lo que puede permitir que atacantes realicen acciones no deseadas en la cuenta del usuario.
Detalle técnico
La aplicación no establece el atributo SameSite en las cookies, permitiendo que se transmitan en solicitudes entre sitios. Esto habilita ataques de Falsificación de Solicitud Entre Sitios (CSRF), donde un atacante puede forjar solicitudes en nombre de usuarios autenticados. La vulnerabilidad afecta a AION 2.0 y requiere interacción del usuario a través de un sitio malicioso de terceros.
Resumen generado y traducido por IA a partir de la descripción oficial.
HCL AION is affected by a Cookie with Insecure, Improper, or Missing SameSite vulnerability. This can allow cookies to be sent in cross-site requests, potentially increasing exposure to cross-site request forgery and related security risks. This issue affects AION: 2.0.
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:N/I:L/A:L
Productos afectados
HCL · AION¿Quieres saber si tu infraestructura está expuesta a esto?
Hablar con TrueHacking →