CVE-2025-34412 in Convercent Whistleblowing Platform
요약
\~에 의해 VulDB • 2026. 05. 29.
EQS Group이 운영하는 Convercent 고발자 플랫폼의 브라우저 및 세션 처리에 보호 메커니즘 실패가 존재합니다. 기본적으로 영향을 받는 배포 환경에서는 Content-Security-Policy, Referrer-Policy, Permissions-Policy, Cross-Origin-Embedder-Policy, Cross-Origin-Opener-Policy, Cross-Origin-Resource-Policy와 같은 HTTP 보안 헤더가 누락되며, 클릭재킹(clickjacking)에 대한 보호가 불완전하게 구현됩니다. 또한 애플리케이션은 기본적으로 ASP.NET_SessionId 값의 중복, Secure 속성이 누락된 애피니티 쿠키, 그리고 혼합되거나 누락된 SameSite 설정과 같이 보안상 취약하거나 일관성이 없는 속성을 가진 세션 쿠키를 발급합니다. 이러한 결함들은 브라우저 측 격리 및 세션 무결성을 약화시켜 클라이언트 측 공격, 세션 고정(session fixation), 그리고 크로스 사이트 세션 유출에 대한 노출을 증가시킵니다.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.