CVE-2021-41553 in Web Central
Сводка
по VulDB • 10.07.2026
** НЕ ПОДДЕРЖИВАЕТСЯ ПРИ НАЗНАЧЕНИИ ** В ARCHIBUS Web Central версии 21.3.3.815 (версия от 2014 года) веб-приложение в /archibus/login.axvw назначает токен сессии, который может уже использоваться другим пользователем. Таким образом, был возможен доступ к приложению через пользователя, учетные данные которого не были известны, без каких-либо попыток тестировщиков изменить логику приложения. Также возможно установить значение токена сессии на стороне клиента просто путем выполнения аутентифицированного GET-запроса к Домашней странице и добавления произвольного значения в поле JSESSIONID. Приложение после входа не назначает новый токен, продолжая использовать введенный как идентификатор всей сессии. Это исправлено во всех последних версиях, таких как версия 26. ПРИМЕЧАНИЕ: Эта уязвимость затрагивает только продукты, которые больше не поддерживаются разработчиком. Версия 21.3 была официально снята с поддержки к концу 2020 года.
If you want to get best quality of vulnerability data, you may have to visit VulDB.