CVEbaza.plSłownik CWECWE-539
Common Weakness Enumeration

CWE-539

Use of Persistent Cookies Containing Sensitive Information

Kategoria: VariantCVE: 7
Opis

Aplikacja webowa wykorzystuje trwałe pliki cookie, jednak zawierają one poufne informacje. Stanowi to zagrożenie bezpieczeństwa, ponieważ dane wrażliwe mogą być odczytane lub przechwycone przez nieuprawnionych użytkowników.

Description (EN)

The web application uses persistent cookies, but the cookies contain sensitive information.

Podatności CVE z CWE-539 (7)
9.1
CVSS
CRITICAL
CVE-2025-27673

Podatność w Vasion Print (dawniej PrinterLogic) przed wersjami Virtual Appliance Host 22.0.843 i Application 20.0.1923 powoduje, że wrażliwe dane cookie są zwracane w treści odpowiedzi HTTP. Jest to groźne, ponieważ atakujący może przechwycić sesję użytkownika lub uzyskać nieautoryzowany dostęp do systemu bez konieczności uwierzytelniania.

pub. 2025-03-05
8.5
CVSS
HIGH
CVE-2024-39275

Cookies of authenticated Advantech ADAM-5630 users remain as active valid cookies when a session is closed. Forging requests with a legitimate cookie, even if the session was terminated, allows an unauthorized attacker to act with the same level of privileges of the legitimate user.

pub. 2024-09-27
7.5
CVSS
HIGH
CVE-2023-30861

Flask is a lightweight WSGI web application framework. When all of the following conditions are met, a response containing data intended for one client may be cached and subsequently sent by the proxy to other clients. If the proxy also caches `Set-Cookie` headers, it may send one client's `session` cookie to other clients. The severity depends on the application's use of the session and the proxy's behavior regarding cookies. The risk depends on all these conditions being met. 1. The application must be hosted behind a caching proxy that does not strip cookies or ignore responses with cookies. 2. The application sets `session.permanent = True` 3. The application does not access or modify the session at any point during a request. 4. `SESSION_REFRESH_EACH_REQUEST` enabled (the default). 5. The application does not set a `Cache-Control` header to indicate that a page is private or should not be cached. This happens because vulnerable versions of Flask only set the `Vary: Cookie` header when the session is accessed or modified, not when it is refreshed (re-sent to update the expiration) without being accessed or modified. This issue has been fixed in versions 2.3.2 and 2.2.5.

pub. 2023-05-02
5.3
CVSS
MEDIUM
CVE-2021-27463

A vulnerability has been found in multiple revisions of Emerson Rosemount X-STREAM Gas Analyzer. The affected applications utilize persistent cookies where the session cookie attribute is not properly invalidated, allowing an attacker to intercept the cookies and gain access to sensitive information.

pub. 2021-05-20
4.2
CVSS
MEDIUM
CVE-2026-24318

Due to an Insecure session management vulnerability in SAP Business Objects Business Intelligence Platform, an unauthenticated attacker could obtain valid session tokens and reuse them to gain unauthorized access to a victim�s session. If the application continues to accept previously issued tokens after authentication, the attacker could assume the victim�s authenticated context. This could allow the attacker to access or modify information within the victim�s session scope, impacting confidentiality and integrity, while availability remains unaffected.

pub. 2026-04-14
3.1
CVSS
LOW
CVE-2025-52633

HCL AION jest podatny na permanent cookie zawierający wrażliwe informacje sesji. Przechowywanie wrażliwych danych sesji w trwałych cookies może zwiększyć ryzyko nieautoryzowanego dostępu w przypadku przechwycenia lub skompromitowania cookies. Podatność dotyczy AION 2.0.

pub. 2026-02-03
2.3
CVSS
LOW
CVE-2026-35192

W wersjach 6.0 przed 6.0.5 i 5.2 przed 5.2.14 odkryto problem. Nagłówki odpowiedzi nie różnią się w zależności od ciasteczek, jeśli sesja nie jest modyfikowana, ale `SESSION_SAVE_EVERY_REQUEST` jest ustawione na `True`. Zdalny atakujący może ukraść sesję użytkownika po tym, jak użytkownik odwiedzi buforowaną stronę publiczną. Wcześniejsze, nieobsługiwane serie Django (takie jak 5.0.x, 4.1.x i 3.2.x) nie były oceniane i mogą być również dotknięte problemem.

pub. 2026-05-05
Informacje
ID: CWE-539
Typ: Variant
Podatności: 7
MITRE CWE ↗
← Słownik CWE