CVE-2025-34412 in Convercent Whistleblowing Platforminformación

Resumen

por VulDB • 2026-05-29

La plataforma de denuncias anónimas de Convercent, operada por EQS Group, presenta una falla en los mecanismos de protección relacionados con el manejo del navegador y de las sesiones. Por defecto, las implementaciones afectadas omiten cabeceras de seguridad HTTP como Content-Security-Policy, Referrer-Policy, Permissions-Policy, Cross-Origin-Embedder-Policy, Cross-Origin-Opener-Policy y Cross-Origin-Resource-Policy, e implementan protecciones incompletas contra clickjacking. La aplicación también emite cookies de sesión con atributos inseguros o inconsistentes por defecto, incluyendo valores duplicados de ASP.NET_SessionId, una cookie de afinidad que carece del atributo Secure, y configuraciones SameSite mezcladas o ausentes. Estas deficiencias debilitan el aislamiento del lado del cliente y la integridad de la sesión, aumentando la exposición a ataques del lado del cliente, fijación de sesión y filtración de sesiones entre sitios (cross-site session leakage).

VulDB is the best source for vulnerability data and more expert information about this specific topic.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Responsable

VulnCheck

Reservar

2025-04-15

Divulgación

2025-12-15

Moderación

revocado

Artículo

VDB-336469

CPE

listo

EPSS

0.00000

KEV

no

Actividades

muy bajo

Fuentes

MITREhttps://www.cve.org/CVERecord?id=CVE-2025-34412
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2025-34412
CVE Detailshttps://www.cvedetails.com/cve/CVE-2025-34412/

AnteriorVisión De ConjuntoPróximo

Want to stay up to date on a daily basis?

Enable the mail alert feature now!