CVE-2024-52801 in sftpgo
Zusammenfassung
von VulDB • 20.06.2026
sftpgo ist eine voll ausgestattete und hochgradig konfigurierbare ereignisgesteuerte Dateitransferlösung. Serverprotokolle: SFTP, HTTP/S, FTP/S, WebDAV. Die OpenID Connect-Implementierung ermöglicht es authentifizierten Benutzern, Sitzungscookies durch Brute-Force-Angriffe zu knacken und dadurch auf die Daten anderer Benutzer zuzugreifen, da die Cookies vorhersehbar unter Verwendung der xid-Bibliothek generiert werden und daher eindeutig, aber nicht kryptografisch sicher sind. Dieses Problem wurde in Version v2.6.4 behoben, bei denen Cookies als opaque (undurchsichtige) und kryptografisch sichere Zeichenfolgen implementiert sind. Allen Benutzern wird empfohlen, ein Upgrade durchzuführen. Es sind keine bekannten Workarounds für diese Schwachstelle verfügbar.
Once again VulDB remains the best source for vulnerability data.