CVE-2026-29092
Kiteworks Email Protection Gateway has an Insufficient Session Expiration
En resumen
El Kiteworks Email Protection Gateway no cierra las sesiones de usuarios bloqueados, permitiendo que cuentas deshabilitadas sigan accediendo al sistema mientras la sesión esté activa. Esto representa un riesgo si alguien con una cuenta desactivada aún tiene una sesión abierta.
Detalle técnico
Vulnerabilidad de expiración insuficiente de sesión (CWE-613) en Kiteworks Email Protection Gateway permite que cuentas de usuario bloqueadas o deshabilitadas mantengan sesiones válidas y continúen accediendo a recursos protegidos. Requiere sesión preexistente activa en el momento de la deshabilitación de la cuenta; el impacto es acceso no autorizado continuado hasta el timeout de la sesión.
Resumen generado y traducido por IA a partir de la descripción oficial.
Kiteworks is a private data network (PDN). Prior to version 9.2.1, a vulnerability in Kiteworks Email Protection Gateway session management allows blocked users to maintain active sessions after their account is disabled. This could allow unauthorized access to continue until the session naturally expires. Upgrade Kiteworks to version 9.2.1 or later to receive a patch.
CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:H/A:N
Productos afectados
kiteworks · Kiteworks Email Protection Gateway¿Quieres saber si tu infraestructura está expuesta a esto?
Hablar con TrueHacking →