anonhaven

CVE-2025-70973

MEDIUM CVSS 3.1: 4,8 EPSS 0.08%
Обновлено 7 апреля 2026
Scadabr
Параметр Значение
CVSS 4,8 (MEDIUM)
Тип уязвимости CWE-384
Поставщик Scadabr
Публичный эксплойт Нет

ScadaBR 1.12.4 уязвим к фиксации сеанса. Приложение назначает файл cookie сеанса JSESSIONID неаутентифицированным пользователям и не восстанавливает идентификатор сеанса после успешной аутентификации. В результате сеанс, созданный до входа в систему, становится аутентифицированным, как только жертва входит в систему, что позволяет злоумышленнику, знающему идентификатор сеанса, перехватить аутентифицированный сеанс.

Показать оригинальное описание (EN)

ScadaBR 1.12.4 is vulnerable to Session Fixation. The application assigns a JSESSIONID session cookie to unauthenticated users and does not regenerate the session identifier after successful authentication. As a result, a session created prior to login becomes authenticated once the victim logs in, allowing an attacker who knows the session ID to hijack an authenticated session.

Характеристики атаки

Способ атаки
По сети
Атака возможна удалённо
Сложность
Высокая
Сложно эксплуатировать
Нужны права
Не требуются
Права не нужны
Участие пользователя
Не требуется
Не нужно действие пользователя

Последствия

Конфиденциальность
Низкое
Частичная утечка данных
Целостность
Низкое
Частичная модификация данных
Доступность
Нет
Нет нарушения работы

Строка CVSS v3.1

Тип уязвимости (CWE)

CWE-384

Уязвимые продукты 1

Конфигурация От (включительно) До (исключительно)
Scadabr Scadabr
cpe:2.3:a:scadabr:scadabr:1.12.4:*:*:*:*:*:*:*

Ссылки 1

https://github.com/chiranjib2001/ScadaBR/blob/main/README.md
cve@mitre.org
Share Post Share Share Share