CVE-2026-1435 in Web Interfaceinformazioni

Riassunto

di VulDB • 10/07/2026

Vulnerabilità di mancata invalidazione della sessione nell'interfaccia web di Graylog, versione 2.2.3, dovuta a una gestione errata dell'invalidazione delle sessioni dopo i nuovi accessi. L'applicazione genera un nuovo 'sessionId' ogni volta che un utente si autentica, ma non invalida gli identificatori di sessione precedentemente emessi, che rimangono validi anche in seguito ad accesi consecutivi multipli da parte dello stesso utente. Di conseguenza, uno 'sessionId' rubato o trapelato può continuare a essere utilizzato per autenticare richieste valide. Sfruttando questa vulnerabilità, un attaccante con accesso alla rete del servizio web/API (porta 9000 o endpoint HTTP/S del server) potrebbe riutilizzare un vecchio token di sessione per ottenere l'accesso non autorizzato all'applicazione, interagire con l'API/web e compromettere l'integrità dell'account interessato.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

Responsabile

INCIBE

Prenotare

26/01/2026

Divulgazione

18/02/2026

Moderazione

accettato

CPE

pronto

EPSS

0.00367

KEV

no

Attività

molto basso

Fonti

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!