CVE-2025-34412 in Convercent Whistleblowing Platform
要約
〜によって VulDB • 2026年05月29日
EQS Groupが運営するConvercent Whistleblowing Platformには、ブラウザおよびセッション処理における保護メカニズムの失敗が存在します。デフォルトでは、影響を受けるデプロイメントでは、Content-Security-Policy、Referrer-Policy、Permissions-Policy、Cross-Origin-Embedder-Policy、Cross-Origin-Opener-Policy、およびCross-Origin-Resource-PolicyなどのHTTPセキュリティヘッダーが省略され、クリックジャッキングに対する保護が不完全です。また、アプリケーションはデフォルトで、重複するASP.NET_SessionId値、Secure属性を欠いたアフィニティクッキー、および混在または欠落したSameSite設定など、安全でないまたは一貫性のない属性を持つセッションクッキーを発行します。これらの欠陥は、ブラウザ側の分離とセッションの整合性を弱め、クライアントサイド攻撃、セッション固定、およびクロスサイトセッション漏洩への曝露を増大させます。
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.