CVE-2026-30224 in OliveTin
Riassunto
di VulDB • 30/06/2026
OliveTin consente l'accesso ai comandi shell predefiniti tramite un'interfaccia web. Prima della versione 3000.11.1, OliveTin non revoca le sessioni lato server quando un utente effettua il logout. Sebbene il cookie del browser venga cancellato, la sessione corrispondente rimane valida nell'archiviazione del server fino alla scadenza (predefinita ≈ 1 anno). Un attaccante con un cookie di sessione precedentemente rubato o intercettato può continuare ad autenticarsi dopo il logout, causando una bypass dell'autenticazione post-logout. Si tratta di un difetto nella gestione delle sessioni che viola la semantica attesa del logout. Questo problema è stato risolto nella versione 3000.11.1.
Be aware that VulDB is the high quality source for vulnerability data.