CVEbaza.plSłownik CWECWE-565
Common Weakness Enumeration

CWE-565

Reliance on Cookies without Validation and Integrity Checking

Kategoria: BaseCVE: 81
Opis

Produkt polega na istnieniu lub wartościach plików cookie podczas wykonywania operacji krytycznych dla bezpieczeństwa, ale nie zapewnia prawidłowo, że ustawienie jest ważne dla powiązanego użytkownika. Może to prowadzić do obejścia mechanizmów bezpieczeństwa lub nieautoryzowanego dostępu do funkcjonalności.

Description (EN)

The product relies on the existence or values of cookies when performing security-critical operations, but it does not properly ensure that the setting is valid for the associated user.

Podatności CVE z CWE-565 (81)
10.0
CVSS
CRITICAL
CVE-2023-45128

Fiber is an express inspired web framework written in Go. A Cross-Site Request Forgery (CSRF) vulnerability has been identified in the application, which allows an attacker to inject arbitrary values and forge malicious requests on behalf of a user. This vulnerability can allow an attacker to inject arbitrary values without any authentication, or perform various malicious actions on behalf of an authenticated user, potentially compromising the security and integrity of the application. The vulnerability is caused by improper validation and enforcement of CSRF tokens within the application. This issue has been addressed in version 2.50.0 and users are advised to upgrade. Users should take additional security measures like captchas or Two-Factor Authentication (2FA) and set Session cookies with SameSite=Lax or SameSite=Secure, and the Secure and HttpOnly attributes as defense in depth measures. There are no known workarounds for this vulnerability.

pub. 2023-10-16
10.0
CVSS
CRITICAL
CVE-2023-41084

Session management within the web application is incorrect and allows attackers to steal session cookies to perform a multitude of actions that the web app allows on the device.

pub. 2023-09-18
9.8
CVSS
CRITICAL
CVE-2014-125112

Biblioteka Plack::Middleware::Session::Cookie w wersjach do 0.21 dla języka Perl zawiera krytyczną podatność umożliwiającą zdalne wykonanie kodu (RCE). Atakujący może wykonać dowolny kod na serwerze poprzez spreparowane dane cookie, gdy brak jest mechanizmu podpisywania cookie.

pub. 2026-03-26
9.8
CVSS
CRITICAL
CVE-2025-65212

Urządzenia NJHYST HY511 POE nie weryfikują prawidłowo plików cookie, co pozwala nieuwierzytelnionemu atakującemu pobrać plik konfiguracyjny zawierający dane logowania i uzyskać pełny dostęp do panelu zarządzania. Podatność jest krytyczna, ponieważ nie wymaga żadnego uwierzytelnienia ani interakcji użytkownika.

pub. 2026-01-06
9.8
CVSS
CRITICAL
CVE-2025-14440

Plugin JAY Login & Register dla WordPress w wersjach do 2.4.01 włącznie zawiera krytyczną podatność umożliwiającą ominięcie uwierzytelnienia. Nieuwierzytelniony atakujący może zalogować się jako dowolny użytkownik serwisu, w tym administrator.

pub. 2025-12-13
9.8
CVSS
CRITICAL
CVE-2025-2395

System U-Office Force firmy e-Excellence zawiera podatność typu Improper Authentication, która umożliwia niezautoryzowanym zdalnym atakującym zalogowanie się na konto administratora. Podatność jest krytyczna, ponieważ nie wymaga żadnego uwierzytelnienia ani interakcji ze strony użytkownika.

pub. 2025-03-17
9.8
CVSS
CRITICAL
CVE-2024-0947

Podatność w systemie Elektraweb firmy Talya Informatics polega na poleganiu na plikach cookies bez ich walidacji i weryfikacji integralności. Umożliwia to atakującemu zdalne sfałszowanie sesji użytkownika bez konieczności uwierzytelnienia, co czyni ją krytycznie niebezpieczną.

pub. 2024-06-27
9.8
CVSS
CRITICAL
CVE-2024-28288

Router Ruijie RG-NBR700GW w wersji firmware 10.3(4b12) nie weryfikuje cookie podczas procesu resetowania hasła, co umożliwia nieuprawnioną zmianę hasła administratora. Podatność jest krytyczna, ponieważ nieuwierzytelniony atakujący sieciowy może przejąć pełną kontrolę nad urządzeniem.

pub. 2024-03-30
9.8
CVSS
CRITICAL
CVE-2023-35885

CloudPanel 2 before 2.3.1 has insecure file-manager cookie authentication.

pub. 2023-06-20
9.8
CVSS
CRITICAL
CVE-2023-3050

Reliance on Cookies without Validation and Integrity Checking in a Security Decision vulnerability in TMT Lockcell allows Privilege Abuse, Authentication Bypass.This issue affects Lockcell: before 15.

pub. 2023-06-13
9.8
CVSS
CRITICAL
CVE-2022-38297

UCMS v1.6.0 contains an authentication bypass vulnerability which is exploited via cookie poisoning.

pub. 2022-09-12
9.8
CVSS
CRITICAL
CVE-2021-28171

The Vangene deltaFlow E-platform does not take properly protective measures. Attackers can obtain privileged permissions remotely by tampering with users’ data in the Cookie.

pub. 2021-04-06
9.8
CVSS
CRITICAL
CVE-2019-7266

Linear eMerge 50P/5000P devices allow Authentication Bypass.

pub. 2019-07-02
9.8
CVSS
CRITICAL
CVE-2018-20512

EPON CPE-WiFi devices 2.0.4-X000 are vulnerable to escalation of privileges by sending cooLogin=1, cooUser=admin, and timestamp=-1 cookies.

pub. 2019-01-03
9.8
CVSS
CRITICAL
CVE-2018-5190

PicturesPro Photo Cart 6 and 7 before Security-Patch-2018-B allows remote attackers to access arbitrary customer accounts via a modified cookie, related to pc_head.php, pc_login.php, and pc_login_page.php.

pub. 2018-04-17
9.8
CVSS
CRITICAL
CVE-2018-5455

A Reliance on Cookies without Validation and Integrity Checking issue was discovered in Moxa OnCell G3100-HSPA Series version 1.4 Build 16062919 and prior. The application allows a cookie parameter to consist of only digits, allowing an attacker to perform a brute force attack bypassing authentication and gaining access to device functions.

pub. 2018-03-05
9.8
CVSS
CRITICAL
CVE-2017-7279

An unprivileged user of the Unitrends Enterprise Backup before 9.0.0 web server can escalate to root privileges by modifying the "token" cookie issued at login.

pub. 2017-04-12
9.8
CVSS
CRITICAL
CVE-2008-5784

V3 Chat - Profiles/Dating Script 3.0.2 allows remote attackers to bypass authentication and gain administrative access by setting the admin cookie to 1.

pub. 2008-12-31
9.6
CVSS
CRITICAL
CVE-2023-32725

Podatność w Zabbix powoduje, że cookie sesji użytkownika jest przesyłane do zewnętrznej strony skonfigurowanej w widżecie URL podczas testowania lub wykonywania zaplanowanych raportów. Przejęte cookie umożliwia atakującemu dostęp do interfejsu Zabbix z uprawnieniami ofiary.

pub. 2023-12-18
9.3
CVSS
CRITICAL
CVE-2026-39324

Rack::Session::Cookie w wersjach 2.0.0 do 2.1.1 nieprawidłowo obsługuje błędy odszyfrowywania ciasteczek sesji, co umożliwia nieuwierzytelnionemu atakującemu podstawienie sfabrykowanego ciasteczka akceptowanego jako prawidłowe dane sesji. Podatność pozwala na manipulację stanem sesji i potencjalnie nieautoryzowany dostęp do aplikacji.

pub. 2026-04-07
Pokazano 20 z 81 podatności
Informacje
ID: CWE-565
Typ: Base
Podatności: 81
MITRE CWE ↗
← Słownik CWE