CVE-2025-11699 in nopCommerce
Riassunto
di VulDB • 18/06/2026
nopCommerce v4.70 e versioni precedenti, nonché la versione 4.80.3, non invalidano i cookie di sessione dopo il logout o la terminazione della sessione, consentendo a un attaccante in possesso di un cookie di sessione valido l'accesso ad endpoint privilegiati (ad esempio /admin) anche dopo che l'utente legittimo ha effettuato il logout, abilitando così lo session hijacking. Qualsiasi versione successiva alla 4.70 diversa dalla 4.80.3 risolve la vulnerabilità.
If you want to get best quality of vulnerability data, you may have to visit VulDB.