CVE-2024-6739

Опубликовано: 15 июл. 2024

Источник: nvd

CVSS3: 5.3

CVSS3: 6.1

EPSS Низкий

Описание

The session cookie in MailGates and MailAudit from Openfind does not have the HttpOnly flag enabled, allowing remote attackers to potentially steal the session cookie via XSS.

Ссылки

https://www.openfind.com.tw/taiwan/download/Openfind_OF-ISAC-24-007.pdf
Exploit
https://www.twcert.org.tw/en/cp-139-7928-04e8a-2.html
Third Party Advisory
https://www.twcert.org.tw/tw/cp-132-7927-03837-1.html
Third Party Advisory
https://www.openfind.com.tw/taiwan/download/Openfind_OF-ISAC-24-007.pdf
Exploit
https://www.twcert.org.tw/en/cp-139-7928-04e8a-2.html
Third Party Advisory
https://www.twcert.org.tw/tw/cp-132-7927-03837-1.html
Third Party Advisory

Уязвимые конфигурации

Конфигурация 1

Одно из

cpe:2.3:a:openfind:mailaudit:*:*:*:*:*:*:*:*

Версия до 6.1.7.040 (исключая)

cpe:2.3:a:openfind:mailgates:*:*:*:*:*:*:*:*

Версия до 6.1.7.040 (исключая)

EPSS

Процентиль: 31%

0.00119

Низкий

5.3 Medium

CVSS3

6.1 Medium

CVSS3

Дефекты

CWE-1004

CWE-732

Связанные уязвимости

GHSA-pvxg-5348-rxvf

CVSS3: 5.3

github

больше 1 года назад

The session cookie in MailGates and MailAudit from Openfind does not have the HttpOnly flag enabled, allowing remote attackers to potentially steal the session cookie via XSS.

EPSS

Процентиль: 31%

0.00119

Низкий

5.3 Medium

CVSS3

6.1 Medium

CVSS3

Дефекты

CWE-1004

CWE-732