CVE-2026-29092
Kiteworks Email Protection Gateway has an Insufficient Session Expiration
Em resumo
O Kiteworks Email Protection Gateway não desativa as sessões de usuários bloqueados, permitindo que contas desabilitadas continuem acessando o sistema enquanto a sessão estiver ativa. Isso representa um risco se alguém com uma conta desativada ainda tiver uma sessão aberta.
Detalhe técnico
Vulnerabilidade de expiração insuficiente de sessão (CWE-613) no Kiteworks Email Protection Gateway permite que contas de usuário bloqueadas ou desabilitadas mantenham sessões válidas e continuem acessando recursos protegidos. Requer sessão ativa preexistente no momento da desabilitação da conta; o impacto é acesso não autorizado continuado até o timeout da sessão.
Resumo gerado e traduzido por IA a partir da descrição oficial.
Kiteworks is a private data network (PDN). Prior to version 9.2.1, a vulnerability in Kiteworks Email Protection Gateway session management allows blocked users to maintain active sessions after their account is disabled. This could allow unauthorized access to continue until the session naturally expires. Upgrade Kiteworks to version 9.2.1 or later to receive a patch.
CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:H/A:N
Produtos afetados
kiteworks · Kiteworks Email Protection GatewayQuer saber se a sua infraestrutura está exposta a isto?
Falar com a TrueHacking →