CVE-2021-41553 in Web Central
要約
〜によって VulDB • 2026年07月10日
**割り当て時にサポート対象外** ARCHIBUS Web Central 21.3.3.815(2014年版)では、/archibus/login.axvw のWebアプリケーションがセッショントークンを割り当てる際、既に他のユーザーによって使用されている可能性があるトークンを使用していました。そのため、テスターによるアプリケーションロジックの変更を試みることなく、認証情報を持たないユーザーとしてアプリケーションにアクセスすることが可能でした。また、クライアント側でセッショントークンの値を設定することも可能であり、ホームページに対して認証不要のGETリクエストを送信し、JSESSIONIDフィールドに適当な値を追加するだけで実現できます。ログイン後、アプリケーションは新しいトークンを割り当てず、挿入された値をそのまま全体のセッション識別子として維持します。この問題はすべての最新バージョンで修正されており、例えばバージョン26が該当します。注意: この脆弱性は、メーカーによってサポート対象外となった製品にのみ影響を与えます。バージョン21.3は2020年末までに正式にサポート終了となりました。
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.