IBM Cloud Pak System не устанавливает атрибут Secure для токенов авторизации или файлов cookie сеанса. Злоумышленники могут получить значения файлов cookie, отправив ссылку http:// пользователю или разместив эту ссылку на сайте, на который заходит пользователь. Файл cookie будет отправлен по незащищенной ссылке, и злоумышленник сможет получить значение файла cookie, отслеживая трафик.
Показать оригинальное описание (английский)
IBM Cloud Pak System does not set the secure attribute on authorization tokens or session cookies. Attackers may be able to get the cookie values by sending a http:// link to a user or by planting this link in a site the user goes to. The cookie will be sent to the insecure link and the attacker can then obtain the cookie value by snooping the traffic.
Матрица атаки
Вектор атаки
По сети
Атака по сети
Сложность атаки
Низкая
Легко эксплуатировать
Требуемые привилегии
Не требуются
Права не нужны
Взаимодействие с пользователем
Не требуется
Не нужно действие пользователя
Влияние на конфиденциальность
Низкое
Частичная утечка данных
Влияние на целостность
Нет
Нет модификации
Влияние на доступность
Нет
Нет отказа в обслуживании
СТРОКА CVSS ВЕКТОРА
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N