CRITICAL🇬🇧 English

CVE-2024-13279

Session Fixation w module Drupal Two-Factor Authentication (TFA)

CVSS 9.8v3.1pub. 2025-01-09upd. 2025-09-02

Moduł Two-Factor Authentication (TFA) dla Drupal zawiera podatność typu session fixation, sklasyfikowaną jako krytyczną (CVSS 9.8). Pozwala atakującemu na przejęcie sesji uwierzytelnionego użytkownika bez znajomości jego hasła ani kodu 2FA.

Pokaż oryginał (EN)

Session Fixation vulnerability in Drupal Two-factor Authentication (TFA) allows Session Fixation.This issue affects Two-factor Authentication (TFA): from 0.0.0 before 1.8.0.

🤖 Analiza AI
Jak działa

Podatność session fixation (CWE-384) polega na tym, że aplikacja nie generuje nowego identyfikatora sesji po pomyślnym uwierzytelnieniu użytkownika. Atakujący może z wyprzedzeniem podsunąć ofierze znany mu identyfikator sesji, a następnie — po tym, jak ofiara zaloguje się przy użyciu dwuetapowego uwierzytelnienia — przejąć tę sesję i działać w kontekście jej uprawnień. Podatność jest możliwa do wykorzystania zdalnie, bez uwierzytelnienia i bez interakcji użytkownika ponad sam akt logowania.

Skutki

Atakujący uzyskuje pełny dostęp do sesji uwierzytelnionego użytkownika, co może prowadzić do przejęcia konta, ujawnienia poufnych danych oraz naruszenia integralności i dostępności zasobów serwisu Drupal.

Mitygacja

Należy zaktualizować moduł Two-Factor Authentication (TFA) do wersji 1.8.0 lub nowszej. Szczegółowe informacje dostępne są w komunikacie bezpieczeństwa Drupal: https://www.drupal.org/sa-contrib-2024-043

Kogo dotyczy

Moduł Two-Factor Authentication (TFA) dla Drupal w wersjach od 0.0.0 do 1.8.0 (wersja 1.8.0 wyłączona).

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Two Factor Authentication Project Two Factor Authentication

    APP
    Two-Factor Authentication Project
    < 8.x-1.8
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje

Powiązane podatności

CVE-2024-13239CRITICAL9.8PL ✓ten sam produkt

Słabe uwierzytelnianie w module Two-Factor Authentication dla Drupal

CVE-2025-31694HIGH8.1ten sam produkt

Incorrect Authorization vulnerability in Drupal Two-factor Authentication (TFA) allows Forceful Browsing.This ...

CVE-2025-7030MEDIUM6.5ten sam produkt

Privilege Defined With Unsafe Actions vulnerability in Drupal Two-factor Authentication (TFA) allows Exploitin...