CRITICAL🇬🇧 English

CVE-2023-48929

Session Fixation w Franklin Fueling Systems SSA umożliwia eskalację uprawnień

CVSS 9.8v3.1pub. 2023-12-08upd. 2024-11-21

Franklin Fueling Systems System Sentinel AnyWare (SSA) w wersji 1.6.24.492 jest podatny na atak Session Fixation (CWE-384). Podatność umożliwia nieuwierzytelnionemu atakującemu eskalację uprawnień oraz uzyskanie dostępu do wrażliwych informacji.

Pokaż oryginał (EN)

Franklin Fueling Systems System Sentinel AnyWare (SSA) version 1.6.24.492 is vulnerable to Session Fixation. The 'sid' parameter in the group_status.asp resource allows an attacker to escalate privileges and obtain sensitive information.

🤖 Analiza AI
Jak działa

Podatność wynika z nieprawidłowej obsługi identyfikatora sesji ('sid') w zasobie group_status.asp. Atakujący może przekazać z góry ustalony identyfikator sesji ofierze, a po jej uwierzytelnieniu przejąć kontrolę nad tą sesją. Mechanizm Session Fixation polega na tym, że aplikacja nie regeneruje identyfikatora sesji po zalogowaniu użytkownika, co umożliwia atakującemu posługiwanie się sesją o znanych mu parametrach.

Skutki

Atakujący może przejąć sesję zalogowanego użytkownika, co prowadzi do eskalacji uprawnień oraz uzyskania nieautoryzowanego dostępu do wrażliwych informacji przetwarzanych przez system.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami. Dodatkowo zaleca się ograniczenie dostępu do interfejsu webowego SSA wyłącznie do zaufanych sieci oraz wdrożenie dodatkowej warstwy uwierzytelniania.

Kogo dotyczy

Franklin Fueling Systems System Sentinel AnyWare (SSA) wersja 1.6.24.492

Uwagi

Szczegóły techniczne i materiały dotyczące podatności zostały opublikowane publicznie w repozytorium GitHub badacza MatJosephs.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Franklin Electric System Sentinel Anyware

    APP
    Franklin-Electric
    1.6.24.492
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
LPE
CWE
Referencje

Powiązane podatności

CVE-2023-48928MEDIUM6.1ten sam produkt

Franklin Fueling Systems System Sentinel AnyWare (SSA) version 1.6.24.492 is vulnerable to Open Redirect. The ...