IBM Cloud Pak System не устанавливает атрибут Secure для токенов авторизации или файлов cookie сеанса. Злоумышленники могут получить значения файлов cookie, отправив ссылку http:// пользователю или разместив эту ссылку на сайте, на который заходит пользователь. Файл cookie будет отправлен по незащищенной ссылке, и злоумышленник сможет получить значение файла cookie, отслеживая трафик.
Показать оригинальное описание (EN)
IBM Cloud Pak System does not set the secure attribute on authorization tokens or session cookies. Attackers may be able to get the cookie values by sending a http:// link to a user or by planting this link in a site the user goes to. The cookie will be sent to the insecure link and the attacker can then obtain the cookie value by snooping the traffic.
Характеристики атаки
Способ атаки
По сети
Атака возможна удалённо
Сложность
Низкая
Легко эксплуатировать
Нужны права
Не требуются
Права не нужны
Участие пользователя
Не требуется
Не нужно действие пользователя
Последствия
Конфиденциальность
Низкое
Частичная утечка данных
Целостность
Нет
Нет модификации данных
Доступность
Нет
Нет нарушения работы
Строка CVSS v3.1