CVEbaza.plSłownik CWECWE-1275
Common Weakness Enumeration

CWE-1275

Sensitive Cookie with Improper SameSite Attribute

Kategoria: VariantCVE: 25
Opis

Atrybut SameSite dla wrażliwych plików cookie nie jest ustawiony lub używana jest niezabezpieczona wartość. Może to prowadzić do ataków CSRF (Cross-Site Request Forgery) i nieautoryzowanego dostępu do danych użytkownika.

Description (EN)

The SameSite attribute for sensitive cookies is not set, or an insecure value is used.

Podatności CVE z CWE-1275 (25)
9.8
CVSS
CRITICAL
CVE-2024-6611

Podatność w Mozilla Firefox i Thunderbird umożliwia zagnieżdżonemu elementowi iframe wywołanie nawigacji cross-site i wysłanie cookies oznaczonych jako SameSite=Strict lub SameSite=Lax, co narusza zamierzone ograniczenia bezpieczeństwa. Jest to groźne, ponieważ mechanizm SameSite ma chronić użytkowników przed atakami typu CSRF oraz nieautoryzowanym dostępem do sesji.

pub. 2024-07-09
8.5
CVSS
HIGH
CVE-2023-53957

Kimai 1.30.10 contains a SameSite cookie vulnerability that allows attackers to steal user session cookies through malicious exploitation. Attackers can trick victims into executing a crafted PHP script that captures and writes session cookie information to a file, enabling potential session hijacking.

pub. 2025-12-19
8.2
CVSS
HIGH
CVE-2025-24897

Misskey is an open source, federated social media platform. Starting in version 12.109.0 and prior to version 2025.2.0-alpha.0, due to a lack of CSRF protection and the lack of proper security attributes in the authentication cookies of Bull's dashboard, some of the APIs of bull-board may be subject to CSRF attacks. There is a risk of this vulnerability being used for attacks with relatively large impact on availability and integrity, such as the ability to add arbitrary jobs. This vulnerability was fixed in 2025.2.0-alpha.0. As a workaround, block all access to the `/queue` directory with a web application firewall (WAF).

pub. 2025-02-11
5.9
CVSS
MEDIUM
CVE-2022-38386

IBM Cloud Pak for Security (CP4S) 1.10.0.0 through 1.10.11.0 and IBM QRadar Suite for Software 1.10.12.0 through 1.10.19.0 does not set the SameSite attribute for sensitive cookies which could allow an attacker to obtain sensitive information using man-in-the-middle techniques. IBM X-Force ID: 233778.

pub. 2024-05-01
5.5
CVSS
MEDIUM
CVE-2024-30155

HCL SX does not set the secure attribute on authorization tokens or session cookies. Attackers may potentially be able to obtain access to the cookie values via a Cross-Site-Forgery-Request (CSRF).

pub. 2025-03-26
5.4
CVSS
MEDIUM
CVE-2024-42212

HCL BigFix Compliance is affected by an improper or missing SameSite attribute. This can lead to Cross-Site Request Forgery (CSRF) attacks, where a malicious site could trick a user's browser into making unintended requests using authenticated sessions.

pub. 2025-05-05
5.3
CVSS
MEDIUM
CVE-2026-1697

The Secure and SameSite attribute are missing in the GraphicalData web services and WebClient web app of PcVue in version 12.0.0 through 16.3.3 included.

pub. 2026-02-26
4.8
CVSS
MEDIUM
CVE-2025-24387

A vulnerability in OTRS Application Server allows session hijacking due to missing attributes for sensitive cookie settings in HTTPS sessions. A request to an OTRS endpoint from a possible malicious web site, would send the authentication cookie, performing an unwanted read operation.   This issue affects: * OTRS 7.0.X * OTRS 8.0.X * OTRS 2023.X * OTRS 2024.X * OTRS 2025.x

pub. 2025-03-10
4.6
CVSS
MEDIUM
CVE-2025-52628

HCL AION is affected by a Cookie with Insecure, Improper, or Missing SameSite vulnerability. This can allow cookies to be sent in cross-site requests, potentially increasing exposure to cross-site request forgery and related security risks. This issue affects AION: 2.0.

pub. 2026-02-03
4.0
CVSS
MEDIUM
CVE-2026-55688

The AsyncHttpClient (AHC) library allows Java applications to easily execute HTTP requests and asynchronously process HTTP responses. In versions from 2.0.0 prior to 2.16.0 and from 3.0.0.Beta1 prior to 3.0.11, ThreadSafeCookieStore stored a cookie under the value of its Domain attribute without verifying that the responding host is allowed to set a cookie for that domain, leading to a cookie tossing / cookie injection issue. A host the client connects to can therefore plant a cookie scoped to an unrelated domain, and the client will then send that cookie on later requests to that domain. Applications that use a single AsyncHttpClient instance - and thus the default, shared CookieStore - to reach both an attacker-influenced host and a trusted host are impacted. This issue has been fixed in versions 2.16.0 and 3.0.11.

pub. 2026-07-01
3.7
CVSS
LOW
CVE-2025-36134

IBM Sterling B2B Integrator i IBM Sterling File Gateway w wersjach 6.0.0.0 do 6.1.2.7, 6.2.0.0 do 6.2.0.5 oraz 6.2.1.1 mogą ujawnić wrażliwe informacje z powodu braku lub nieprawidłowej konfiguracji atrybutu SameSite dla wrażliwego cookie'a.

pub. 2025-11-25
3.7
CVSS
LOW
CVE-2024-43173

IBM Concert 1.0.0 and 1.0.1 vulnerable to attacks that rely on the use of cookies without the SameSite attribute.

pub. 2024-10-22
2.3
CVSS
LOW
CVE-2026-8409

Concrete CMS w wersji 9 przed 9.5.0 jest podatny na Cross Site Request Forgery (CSRF) w module concrete/controllers/dialog/logs/delete. Zespół bezpieczeństwa Concrete CMS przyznał tej podatności wynik CVSS v4.0 równy 2.3 z wektorem CVSS:4.0/AV:N/AC:L/AT:P/PR:N/UI:P/VC:N/VI:L/VA:N/SC:N/SI:N/SA:N. Podziękowania dla Yonatana Drori (Tenzai) za zgłoszenie.

pub. 2026-05-21
2.3
CVSS
LOW
CVE-2026-8410

Concrete CMS 9 przed wersją 9.5.0 jest podatny na Cross Site Request Forgery (CSRF) w konkretnym/controllers/dialog/logs/bulk/delete. Zespół bezpieczeństwa Concrete CMS przyznał tej podatności wynik CVSS v.4.0 wynoszący 2.3 z wektorem CVSS:4.0/AV:N/AC:L/AT:P/PR:N/UI:P/VC:N/VI:L/VA:N/SC:N/SI:N/SA:N. Dziękujemy Yonatanowi Droriemu (Tenzai) za zgłoszenie.

pub. 2026-05-21
2.3
CVSS
LOW
CVE-2026-8411

Concrete CMS 9 w wersji wcześniejszej niż 9.5.0 jest podatny na CSRF (Cross Site Request Forgery) w ścieżce concrete/controllers/dialog/page/bulk/delete. Zespół bezpieczeństwa Concrete CMS przyznał tej podatności wynik CVSS v.4.0 2.3 z wektorem CVSS:4.0/AV:N/AC:L/AT:P/PR:N/UI:P/VC:N/VI:L/VA:N/SC:N/SI:N/SA:N. Podatność zgłosił Yonatan Drori (Tenzai).

pub. 2026-05-21
2.3
CVSS
LOW
CVE-2026-8412

Concrete CMS 9 przed wersją 9.5.0 jest podatny na Cross Site Request Forgery (CSRF) w `concrete/controllers/dialog/page/bulk/cache`. Zespół bezpieczeństwa Concrete CMS przyznał tej podatności wynik CVSS v4.0 wynoszący 2.3 z wektorem CVSS:4.0/AV:N/AC:L/AT:P/PR:N/UI:P/VC:N/VI:L/VA:N/SC:N/SI:N/SA:N.

pub. 2026-05-21
2.3
CVSS
LOW
CVE-2026-8413

Concrete CMS 9 przed wersją 9.5.0 jest podatny na Cross Site Request Forgery (CSRF) w ścieżce concrete/controllers/dialog/page/bulk/design. Zespół bezpieczeństwa Concrete CMS przyznał tej podatności wynik CVSS v.4.0 wynoszący 2.3 z wektorem CVSS:4.0/AV:N/AC:L/AT:P/PR:N/UI:P/VC:N/VI:L/VA:N/SC:N/SI:N/SA:N.

pub. 2026-05-21
2.3
CVSS
LOW
CVE-2026-8414

Concrete CMS 9 przed wersją 9.5.0 jest podatny na Cross Site Request Forgery (CSRF) w ścieżce concrete/controllers/dialog/event/duplicate. Zespół bezpieczeństwa Concrete CMS przyznał tej podatności wynik CVSS v.4.0 wynoszący 2.3 z wektorem CVSS:4.0/AV:N/AC:L/AT:P/PR:N/UI:P/VC:N/VI:L/VA:N/SC:N/SI:N/SA:N. Podziękowania dla Yonatan Drori (Tenzai) za zgłoszenie.

pub. 2026-05-21
2.3
CVSS
LOW
CVE-2026-8415

Concrete CMS 9 poniżej wersji 9.5.0 jest podatny na Cross Site Request Forgery (CSRF) w ścieżce concrete/controllers/dialog/express/association/reorder. Zespół bezpieczeństwa Concrete CMS przydzielił tej podatności wynik CVSS v.4.0 równy 2.3 z wektorem CVSS:4.0/AV:N/AC:L/AT:P/PR:N/UI:P/VC:N/VI:L/VA:N/SC:N/SI:N/SA:N. Podatność zgłosił Yonatan Drori (Tenzai).

pub. 2026-05-21
2.3
CVSS
LOW
CVE-2026-8416

Concrete CMS w wersji 9 przed 9.5.0 jest podatny na Cross Site Request Forgery (CSRF) w pliku concrete/controllers/backend/file addFavoriteFolder($id). Zespół bezpieczeństwa Concrete CMS przyznał tej podatności wynik CVSS v.4.0 równy 2.3 z wektorem CVSS:4.0/AV:N/AC:L/AT:P/PR:N/UI:P/VC:N/VI:L/VA:N/SC:N/SI:N/SA:N. Podatność zgłosił Yonatan Drori (Tenzai).

pub. 2026-05-21
Pokazano 20 z 25 podatności
Informacje
ID: CWE-1275
Typ: Variant
Podatności: 25
MITRE CWE ↗
← Słownik CWE