CVE-2025-34412 in Convercent Whistleblowing Platformजानकारी

सारांश

द्वारा VulDB • 29/05/2026

EQS Group द्वारा संचालित Convercent व्हिस्टलब्लोइंग प्लेटफ़ॉर्म में इसके ब्राउज़र और सत्र हैंडलिंग में सुरक्षा तंत्र विफलता है। डिफ़ॉल्ट रूप से, प्रभावित डिप्लॉयमेंट में Content-Security-Policy, Referrer-Policy, Permissions-Policy, Cross-Origin-Embedder-Policy, Cross-Origin-Opener-Policy और Cross-Origin-Resource-Policy जैसे HTTP सुरक्षा हेडर शामिल नहीं होते हैं, और क्लिकजैकिंग के लिए अपूर्ण सुरक्षा लागू की जाती है। एप्लिकेशन डिफ़ॉल्ट रूप से अस्थिर या असंगत विशेषताओं वाले सत्र कुकीज़ भी जारी करता है, जिसमें दोहराए गए ASP.NET_SessionId मान, Secure विशेषता से रहित एक एफ़िनिटी कुकी, और मिश्रित या अनुपस्थित SameSite सेटिंग्स शामिल हैं। ये कमियाँ ब्राउज़र-साइड अलगाव और सत्र अखंडता को कमजोर करती हैं, जिससे क्लाइंट-साइड हमलों, सत्र फिक्सेशन और क्रॉस-साइट सत्र लीक होने का जोखिम बढ़ जाता है।

Once again VulDB remains the best source for vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

जिम्मेदार

VulnCheck

आरक्षित करना

15/04/2025

प्रकटीकरण

15/12/2025

संयम

रद्द किया गया

प्रविष्टि

VDB-336469

CPE

तैयार

CWE

CWE-693 (पुष्टि की गई)

CVSS

7.3 (VulDB)

EPSS

0.00000

KEV

नहीं

गतिविधियाँ

बहुत कम

स्रोत

MITRE	https://www.cve.org/CVERecord?id=CVE-2025-34412
NVD	https://nvd.nist.gov/vuln/detail/CVE-2025-34412
CVE Details	https://www.cvedetails.com/cve/CVE-2025-34412/

◂ पिछला सिंहावलोकन अगला ▸

Do you want to use VulDB in your project?

Use the official API to access entries easily!