CRITICAL🇬🇧 English

CVE-2024-0947

Manipulacja sesją przez niezwalidowane cookies w Elektraweb (Talya Informatics)

CVSS 9.8v3.1pub. 2024-06-27upd. 2026-06-03

Podatność w systemie Elektraweb firmy Talya Informatics polega na poleganiu na plikach cookies bez ich walidacji i weryfikacji integralności. Umożliwia to atakującemu zdalne sfałszowanie sesji użytkownika bez konieczności uwierzytelnienia, co czyni ją krytycznie niebezpieczną.

Pokaż oryginał (EN)

Reliance on Cookies without Validation and Integrity Checking vulnerability in Talya Informatics Elektraweb allows Session Credential Falsification through Manipulation, Accessing/Intercepting/Modifying HTTP Cookies, Manipulating Opaque Client-based Data Tokens. This issue affects Elektraweb: before v17.0.68.

🤖 Analiza AI
Jak działa

Aplikacja Elektraweb przechowuje dane sesji w cookies bez odpowiedniej weryfikacji ich integralności i autentyczności. Atakujący może zmodyfikować wartości cookies lub przechwycić i podmienić tokeny sesji przesyłane przez HTTP. Ponieważ aplikacja nie sprawdza poprawności tych danych, zmanipulowane cookies są akceptowane jako prawidłowe, co pozwala na przejęcie tożsamości innego użytkownika.

Skutki

Atakujący może sfałszować lub przejąć sesję dowolnego użytkownika aplikacji, uzyskując nieautoryzowany dostęp do jego danych i funkcji systemu. W konsekwencji możliwe jest naruszenie poufności, integralności oraz dostępności danych przetwarzanych przez Elektraweb.

Mitygacja

Należy zaktualizować Elektraweb do wersji v17.0.68 lub nowszej. Szczegółowe informacje dostępne są w referencjach producenta oraz w komunikacie USOM pod numerem TR-24-0808.

Kogo dotyczy

Talya Informatics Elektraweb w wersjach wcześniejszych niż v17.0.68

Uwagi

Podatność została zgłoszona przez tureckie centrum reagowania na incydenty komputerowe (USOM/SOME) w komunikacie TR-24-0808 opublikowanym na stronie siberguvenlik.gov.tr.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje