WWBN AVideo — видеоплатформа с открытым исходным кодом. В версиях до 26.0 включительно функция `_session_start()` AVideo принимает произвольные идентификаторы сеанса через параметр GET `PHPSESSID` и устанавливает их в качестве активного сеанса PHP. Обход регенерации сеанса существует для определенных конечных точек, занесенных в черный список, когда запрос исходит из того же домена.
В сочетании с явно отключенной регенерацией сеанса в `User::login()` это позволяет провести классическую атаку фиксации сеанса, при которой злоумышленник может исправить идентификатор сеанса жертвы перед аутентификацией, а затем перехватить аутентифицированный сеанс. Коммит 5647a94d79bf69a972a86653fe02144079948785 содержит патч.
Показать оригинальное описание (EN)
WWBN AVideo is an open source video platform. In versions up to and including 26.0, AVideo's `_session_start()` function accepts arbitrary session IDs via the `PHPSESSID` GET parameter and sets them as the active PHP session. A session regeneration bypass exists for specific blacklisted endpoints when the request originates from the same domain. Combined with the explicitly disabled session regeneration in `User::login()`, this allows a classic session fixation attack where an attacker can fix a victim's session ID before authentication and then hijack the authenticated session. Commit 5647a94d79bf69a972a86653fe02144079948785 contains a patch.
Характеристики атаки
Последствия
Строка CVSS v3.1