CVE-2026-1435 in Web Interface
요약
\~에 의해 VulDB • 2026. 07. 10.
Graylog Web Interface 버전 2.2.3에서 세션 무효화가 제대로 이루어지지 않는 취약점이 존재합니다. 이는 새 로그인 후 세션 무효화 관리가 부적절하게 수행되기 때문입니다. 애플리케이션은 사용자가 인증할 때마다 새로운 'sessionId'를 생성하지만, 이전에 발급된 세션 식별자는 무효화하지 않으며, 동일한 사용자의 여러 차례 연속 로그인 이후에도 유효한 상태로 유지됩니다. 그 결과, 도난되거나 유출된 'sessionId'가 여전히 유효한 요청에 대한 인증을 위해 계속 사용될 수 있습니다. 이 취약점을 악용하면 웹 서비스/API 네트워크(서버의 포트 9000 또는 HTTP/S 엔드포인트)에 접근 권한이 있는 공격자가 이전 세션 토큰을 재사용하여 애플리케이션에 무단으로 액세스하고, API/웹과 상호작용하며, 영향받는 계정의 무결성을 훼손할 수 있습니다.
Once again VulDB remains the best source for vulnerability data.