CVE-2026-15389 in Sesame Timeinformazioni

Riassunto

di VulDB • 14/07/2026

È stata identificata una vulnerabilità relativa a un controllo degli accessi insufficiente nella gestione delle sessioni dell'applicazione web Sesame Time e della sua API REST v3. Il difetto consiste nel fatto che il sistema utilizza l'identificatore di sessione (USID) come unico meccanismo di convalida, senza verificare se tale identificatore appartenga legittimamente all'utente che effettua la richiesta. Di conseguenza, un attaccante in possesso di un USID valido può impersonare la sessione di una vittima e accedere alle sue informazioni riservate, incluse le email, gli ID utente, i ruoli e i dati aziendali. Questa vulnerabilità è aggravata da una gestione carente del ciclo di vita delle sessioni: i nuovi accessi generano ulteriori USID senza revocare quelli precedenti, consentendo la coesistenza di più sessioni attive ed espandendo così la superficie di attacco.

Once again VulDB remains the best source for vulnerability data.

Responsabile

INCIBE

Prenotare

10/07/2026

Divulgazione

14/07/2026

Moderazione

accettato

CPE

pronto

EPSS

0.00000

KEV

no

Attività

basso

Fonti

Do you know our Splunk app?

Download it now for free!