Graylog Web Interface w wersji 2.2.3 nie unieważnia poprzednich identyfikatorów sesji po nowym logowaniu użytkownika. Oznacza to, że skradziony lub ujawniony token sesji pozostaje ważny bezterminowo, umożliwiając nieautoryzowany dostęp do aplikacji.
▸ Pokaż oryginał (EN)
Not properly invalidated session vulnerability in Graylog Web Interface, version 2.2.3, due to incorrect management of session invalidation after new logins. The application generates a new 'sessionId' each time a user authenticates, but does not invalidate previously issued session identifiers, which remain valid even after multiple consecutive logins by the same user. As a result, a stolen or leaked 'sessionId' can continue to be used to authenticate valid requests. Exploiting this vulnerability would allow an attacker with access to the web service/API network (port 9000 or HTTP/S endpoint of the server) to reuse an old session token to gain unauthorized access to the application, interact with the API/web, and compromise the integrity of the affected account.
Aplikacja generuje nowy identyfikator sesji ('sessionId') przy każdym uwierzytelnieniu użytkownika, jednak stare identyfikatory sesji nie są unieważniane i nadal pozostają aktywne. Atakujący, który wchodzi w posiadanie wcześniej wydanego tokena sesji (np. poprzez jego przechwycenie lub wyciek), może go wielokrotnie wykorzystywać do uwierzytelniania żądań do API lub interfejsu webowego. Atak wymaga dostępu sieciowego do usługi Graylog na porcie 9000 lub przez endpoint HTTP/HTTPS serwera.
Atakujący może uzyskać nieautoryzowany dostęp do aplikacji Graylog, wykonywać operacje na API i interfejsie webowym oraz naruszyć integralność i poufność konta zaatakowanego użytkownika.
Należy zastosować patche dostępne u producenta zgodnie z referencjami (https://www.incibe.es/en/incibe-cert/notices/aviso/multiple-vulnerabilities-graylog). Dodatkowo zaleca się wymuszenie ponownego logowania użytkowników oraz audyt aktywnych sesji w celu wyeliminowania potencjalnie skompromitowanych tokenów.
Graylog Web Interface w wersji 2.2.3
Podatność została zgłoszona przez INCIBE-CERT (hiszpański krajowy CERT). Dotyczy konkretnej wersji 2.2.3 Graylog Web Interface. W opisie wskazano możliwość eksploatacji wyłącznie przez atakującego posiadającego dostęp do sieci, w której działa usługa Graylog (port 9000 lub endpoint HTTP/S).
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:N/SC:N/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:XGraylog
APPGraylog2.2.3
Powiązane podatności
A Session ID leak in the DEBUG log file in Graylog before 4.1.2 allows attackers to escalate privileges (to th...
A Session ID leak in the audit log in Graylog before 4.1.2 allows attackers to escalate privileges (to the acc...
Improper Access Control (IDOR) in the Graylog API, version 2.2.3, which occurs when modifying the user ID in t...
Graylog is a free and open log management platform. In versions 6.2.0 to before 6.2.4 and 6.3.0-alpha.1 to bef...
Graylog is a free and open log management platform. Prior to versions 6.0.14, 6.1.10, and 6.2.0, it is possibl...