CVE-2025-34412 in Convercent Whistleblowing Platforminfo

Zusammenfassung

von VulDB • 22.05.2026

Die von der EQS Group betriebene Convercent Whistleblowing-Plattform weist einen Fehler in ihrem Schutzmechanismus bezüglich der Browser- und Sitzungsverwaltung auf. Standardmäßig lassen betroffene Bereitstellungen HTTP-Sicherheitsheader wie Content-Security-Policy, Referrer-Policy, Permissions-Policy, Cross-Origin-Embedder-Policy, Cross-Origin-Opener-Policy und Cross-Origin-Resource-Policy weg und implementieren unvollständige Schutzmaßnahmen gegen Clickjacking. Die Anwendung stellt zudem standardmäßig Sitzungs-Cookies mit unsicheren oder inkonsistenten Attributen aus, darunter doppelte ASP.NET_SessionId-Werte, ein Affinity-Cookie, das das Secure-Attribut fehlt, sowie gemischte oder fehlende SameSite-Einstellungen. Diese Mängel schwächen die browserseitige Isolation und die Sitzungsintegrität und erhöhen die Anfälligkeit für Client-seitige Angriffe, Session Fixation und das Lecken von Sitzungsdaten über verschiedene Domains hinweg (Cross-Site Session Leakage).

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Zuständig

VulnCheck

Reservieren

15.04.2025

Veröffentlichung

15.12.2025

Moderieren

zurückgezogen

Eintrag

VDB-336469

CPE

bereit

EPSS

0.00000

KEV

nein

Aktivitäten

very low

Quellen

MITREhttps://www.cve.org/CVERecord?id=CVE-2025-34412
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2025-34412
CVE Detailshttps://www.cvedetails.com/cve/CVE-2025-34412/

ZurückÜbersichtWeiter

Want to stay up to date on a daily basis?

Enable the mail alert feature now!