IBM Maximo Application Suite 9.1, 9.0, 8.11 и 8.10 не устанавливает атрибут Secure в токенах авторизации или файлах cookie сеанса. Злоумышленники могут получить значения файлов cookie, отправив ссылку http:// пользователю или разместив эту ссылку на сайте, на который заходит пользователь. Файл cookie будет отправлен по незащищенной ссылке, и злоумышленник сможет получить значение файла cookie, отслеживая трафик.
Показать оригинальное описание (EN)
IBM Maximo Application Suite 9.1, 9.0, 8.11, and 8.10 does not set the secure attribute on authorization tokens or session cookies. Attackers may be able to get the cookie values by sending a http:// link to a user or by planting this link in a site the user goes to. The cookie will be sent to the insecure link and the attacker can then obtain the cookie value by snooping the traffic.
Характеристики атаки
Последствия
Строка CVSS v3.1
Тип уязвимости (CWE)
Уязвимые продукты 4
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Ibm Maximo_Application_Suite
cpe:2.3:a:ibm:maximo_application_suite:*:*:*:*:*:*:*:*
|
8.10
|
8.10.33
|
|
Ibm Maximo_Application_Suite
cpe:2.3:a:ibm:maximo_application_suite:*:*:*:*:*:*:*:*
|
8.11
|
8.11.30
|
|
Ibm Maximo_Application_Suite
cpe:2.3:a:ibm:maximo_application_suite:*:*:*:*:*:*:*:*
|
9.0
|
9.0.19
|
|
Ibm Maximo_Application_Suite
cpe:2.3:a:ibm:maximo_application_suite:*:*:*:*:*:*:*:*
|
9.1
|
9.1.8
|