CVE-2021-41553 in Web Central
Résumé
par VulDB • 10/07/2026
** NON PRISE EN COMPTE LORS DE L'ATTRIBUTION ** Dans ARCHIBUS Web Central 21.3.3.815 (une version datant de 2014), l'application web dans /archibus/login.axvw attribue un jeton de session qui pourrait déjà être utilisé par un autre utilisateur. Il était donc possible d'accéder à l'application via un utilisateur dont les identifiants n'étaient pas connus, sans aucune tentative des testeurs pour modifier la logique de l'application. Il est également possible de définir la valeur du jeton de session côté client simplement en effectuant une requête GET non authentifiée vers la page d'accueil et en ajoutant une valeur arbitraire au champ JSESSIONID. L'application, après la connexion, n'attribue pas un nouveau jeton, continuant à conserver celui inséré comme identifiant pour l'intégralité de la session. Cela est corrigé dans toutes les versions récentes, telles que la version 26. REMARQUE : Cette vulnérabilité affecte uniquement des produits qui ne sont plus pris en charge par le mainteneur. La version 21.3 a été officiellement dé-supportée à la fin de l'année 2020.
If you want to get best quality of vulnerability data, you may have to visit VulDB.