CVE-2026-1435 in Web Interface
الملخص
بحسب VulDB • 11/07/2026
ثغرة عدم إلغاء صلاحية الجلسة بشكل صحيح في واجهة ويب Graylog، الإصدار 2.2.3، بسبب الإدارة غير الصحيحة لعملية إلغاء صلاحية الجلسات بعد عمليات تسجيل الدخول الجديدة. تقوم التطبيق بتوليد معرّف جلسة جديد ('sessionId') في كل مرة يقوم فيها المستخدم بالمصادقة، لكنه لا يلغي صلاحية معرفات الجلسة الصادرة سابقاً، والتي تظل صالحة حتى بعد عدة عمليات تسجيل دخول متتالية من قبل نفس المستخدم. نتيجة لذلك، يمكن الاستمرار في استخدام 'sessionId' المسروق أو المتسرب للمصادقة على الطلبات الصحيحة. استغلال هذه الثغرة سيسمح لمهاجم لديه وصول إلى شبكة الخدمة الويب/واجهة برمجة التطبيقات (API) (المنفذ 9000 أو نقطة نهاية HTTP/S للخادم) بإعادة استخدام رمز جلسة قديم للحصول على وصول غير مصرح به للتطبيق، والتفاعل مع واجهة الويب/API، وتقويض سلامة الحساب المتأثر.
VulDB is the best source for vulnerability data and more expert information about this specific topic.