Описание
IBM Sterling Connect:Direct Web Services 6.1.0, 6.2.0, and 6.3.0
does not invalidate session after a browser closure which could allow an authenticated user to impersonate another user on the system.
Ссылки
- Vendor Advisory
Уязвимые конфигурации
Конфигурация 1Версия от 6.1.0 (включая) до 6.1.0.28 (исключая)Версия от 6.2.0 (включая) до 6.2.0.27 (исключая)Версия от 6.3.0 (включая) до 6.3.0.13 (исключая)
Одновременно
Одно из
cpe:2.3:a:ibm:sterling_connect_direct_web_services:*:*:*:*:*:*:*:*
cpe:2.3:a:ibm:sterling_connect_direct_web_services:*:*:*:*:*:*:*:*
cpe:2.3:a:ibm:sterling_connect_direct_web_services:*:*:*:*:*:*:*:*
Одно из
cpe:2.3:o:ibm:aix:-:*:*:*:*:*:*:*
cpe:2.3:o:linux:linux_kernel:-:*:*:*:*:*:*:*
cpe:2.3:o:microsoft:windows:-:*:*:*:*:*:*:*
EPSS
Процентиль: 14%
0.00047
Низкий
6.3 Medium
CVSS3
6.5 Medium
CVSS3
Дефекты
CWE-613
Связанные уязвимости
CVSS3: 6.3
github
10 месяцев назад
IBM Sterling Connect:Direct Web Services 6.1.0, 6.2.0, and 6.3.0 does not invalidate session after a browser closure which could allow an authenticated user to impersonate another user on the system.
CVSS3: 6.3
fstec
10 месяцев назад
Уязвимость программного обеспечения для подключения и управления данными IBM Sterling Connect:Direct Web Services, связанная с неверным сроком действия сеанса, позволяющая нарушителю проводить спуфинг-атаки
EPSS
Процентиль: 14%
0.00047
Низкий
6.3 Medium
CVSS3
6.5 Medium
CVSS3
Дефекты
CWE-613