exploitDog

GHSA-vcgg-hp4r-87gx

Опубликовано: 14 мая 2022

Источник: github

Github: Прошло ревью

CVSS3: 9.8

Описание

Contao Does Not Invalidate Existing Sessions When Password Changes

Security researcher Ali Razzaq has discovered that existing sessions are not correctly invalidated when a user changes their password in the backend or frontend.

Ссылки

Пакеты

Наименование

contao/contao

composer

Затронутые версииВерсия исправления

>= 4.0.0, < 4.4.37

4.4.37

Наименование

contao/contao

composer

Затронутые версииВерсия исправления

>= 4.5.0, < 4.7.3

4.7.3

Наименование

contao/core-bundle

composer

Затронутые версииВерсия исправления

>= 4.0.0, < 4.4.37

4.4.37

Наименование

contao/core-bundle

composer

Затронутые версииВерсия исправления

>= 4.5.0, < 4.7.3

4.7.3

Наименование

contao/core

composer

Затронутые версииВерсия исправления

>= 3.0.0, < 3.5.39

3.5.39

EPSS

Процентиль: 50%

0.00266

Низкий

9.8 Critical

CVSS3

CVE ID

Дефекты

CWE-640

Связанные уязвимости

CVE-2019-10641

CVSS3: 9.8

nvd

почти 7 лет назад

Contao before 3.5.39 and 4.x before 4.7.3 has a Weak Password Recovery Mechanism for a Forgotten Password.

EPSS

Процентиль: 50%

0.00266

Низкий

9.8 Critical

CVSS3

CVE ID

Дефекты

CWE-640