CVE-2024-25977

The application does not change the session token when using the login or logout functionality. An attacker can set a session token in the victim's browser (e.g. via XSS) and prompt the victim to log in (e.g. via a redirect to the login page). This results in the victim's account being taken over.

CVSS

No CVSS.

References

Link	Resource
http://seclists.org/fulldisclosure/2024/May/34
https://github.com/HAWK-Digital-Environments/HAWKI/commit/146967f3148e92d1640ffebc21d8914e2d7fb3f1
https://r.sec-consult.com/hawki

Configurations

No configuration.

History

10 Jun 2024, 17:16

Type	Values Removed	Values Added
References		() http://seclists.org/fulldisclosure/2024/May/34 -
Summary		(es) La aplicación no cambia el token de sesión cuando se utiliza la función de inicio o cierre de sesión. Un atacante puede establecer un token de sesión en el navegador de la víctima (por ejemplo, mediante XSS) y pedirle que inicie sesión (por ejemplo, mediante una redirección a la página de inicio de sesión). Esto da como resultado que se apodere de la cuenta de la víctima.

29 May 2024, 13:15

Type	Values Removed	Values Added
New CVE

Information

Published : 2024-05-29 13:15

Updated : 2024-06-10 17:16

NVD link : CVE-2024-25977

Mitre link : CVE-2024-25977

CVE.ORG link : CVE-2024-25977

JSON object : View

Products Affected

No product.

CWE

CWE-384

Session Fixation

JSON object

Attach tags to CVE-2024-25977

Attach tags to `CVE-2024-25977`