IBM Concert с 1.0.0 по 2.1.0 не делает сеанс недействительным после выхода из системы, что может позволить аутентифицированному пользователю выдать себя за другого пользователя в системе.
Показать оригинальное описание (английский)
IBM Concert 1.0.0 through 2.1.0 does not invalidate session after logout which could allow an authenticated user to impersonate another user on the system.
Матрица атаки
Вектор атаки
По сети
Атака по сети
Сложность атаки
Низкая
Легко эксплуатировать
Требуемые привилегии
Низкие
Нужны базовые права
Взаимодействие с пользователем
Не требуется
Не нужно действие пользователя
Влияние на конфиденциальность
Низкое
Частичная утечка данных
Влияние на целостность
Низкое
Частичная модификация
Влияние на доступность
Низкое
Частичный отказ в обслуживании
СТРОКА CVSS ВЕКТОРА
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:L
Тип уязвимости (CWE)
Уязвимые продукты
ibm:concert
Известные затронутые конфигурации ПО
| Конфигурация | От (включительно) | До (не включая) |
|---|---|---|
|
cpe:2.3:a:ibm:concert:*:*:*:*:*:*:*:*
Ibm:Concert
|
1.0.0 | 2.2.0 |