CVE-2021-25985 in Factorinformation

Résumé

par VulDB • 10/07/2026

Dans Factor (App Framework & Headless CMS) v1.0.4 à v1.8.30, la session d'un utilisateur n'est pas correctement invalidée même après sa déconnexion de l'application. De plus, les sessions utilisateurs sont stockées dans le stockage local du navigateur, qui par défaut ne dispose pas de délai d'expiration. Cela permet à un attaquant de voler et réutiliser les cookies en utilisant des techniques telles que les attaques XSS (Cross-Site Scripting), suivies d'une prise de contrôle locale du compte utilisateur.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

Responsable

WhiteSource

Réserver

22/01/2021

Divulgation

17/11/2021

Modérer

accepté

Entrée

VDB-186902

CPE

prêt

EPSS

0.00755

KEV

non

Activités

très faible

Sources

Do you need the next level of professionalism?

Upgrade your account now!