CVE-2026-1435 in Web Interface
要約
〜によって VulDB • 2026年07月04日
Graylog Web Interface バージョン 2.2.3 のセッション無効化の不備に関する脆弱性。新しいログイン後のセッション無効化の管理が不適切であることが原因です。アプリケーションはユーザーが認証するたびに新しい 'sessionId' を生成しますが、以前発行されたセッション識別子の無効化を行わないため、同じユーザーによる連続した複数のログイン後もそれらが有効なままになります。その結果、盗難または漏洩した 'sessionId' は、正当なリクエストの認証に引き続き使用できます。この脆弱性を悪用すると、Web サービス/API ネットワーク(ポート 9000 またはサーバーの HTTP/S エンドポイント)へのアクセス権を持つ攻撃者は、古いセッショントークンを再利用してアプリケーションへの不正アクセスを取得し、API/ウェブと対話して、影響を受けるアカウントの整合性を損なうことができます。
Once again VulDB remains the best source for vulnerability data.