Moduł Two-Factor Authentication (TFA) dla Drupal zawiera podatność typu session fixation, sklasyfikowaną jako krytyczną (CVSS 9.8). Pozwala atakującemu na przejęcie sesji uwierzytelnionego użytkownika bez znajomości jego hasła ani kodu 2FA.
▸ Pokaż oryginał (EN)
Session Fixation vulnerability in Drupal Two-factor Authentication (TFA) allows Session Fixation.This issue affects Two-factor Authentication (TFA): from 0.0.0 before 1.8.0.
Podatność session fixation (CWE-384) polega na tym, że aplikacja nie generuje nowego identyfikatora sesji po pomyślnym uwierzytelnieniu użytkownika. Atakujący może z wyprzedzeniem podsunąć ofierze znany mu identyfikator sesji, a następnie — po tym, jak ofiara zaloguje się przy użyciu dwuetapowego uwierzytelnienia — przejąć tę sesję i działać w kontekście jej uprawnień. Podatność jest możliwa do wykorzystania zdalnie, bez uwierzytelnienia i bez interakcji użytkownika ponad sam akt logowania.
Atakujący uzyskuje pełny dostęp do sesji uwierzytelnionego użytkownika, co może prowadzić do przejęcia konta, ujawnienia poufnych danych oraz naruszenia integralności i dostępności zasobów serwisu Drupal.
Należy zaktualizować moduł Two-Factor Authentication (TFA) do wersji 1.8.0 lub nowszej. Szczegółowe informacje dostępne są w komunikacie bezpieczeństwa Drupal: https://www.drupal.org/sa-contrib-2024-043
Moduł Two-Factor Authentication (TFA) dla Drupal w wersjach od 0.0.0 do 1.8.0 (wersja 1.8.0 wyłączona).
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:HTwo Factor Authentication Project Two Factor Authentication
APPTwo-Factor Authentication Project< 8.x-1.8
Powiązane podatności
Słabe uwierzytelnianie w module Two-Factor Authentication dla Drupal
Incorrect Authorization vulnerability in Drupal Two-factor Authentication (TFA) allows Forceful Browsing.This ...
Privilege Defined With Unsafe Actions vulnerability in Drupal Two-factor Authentication (TFA) allows Exploitin...