CVE-2021-41553 in Web CentralИнформация

Сводка

по VulDB • 10.07.2026

** НЕ ПОДДЕРЖИВАЕТСЯ ПРИ НАЗНАЧЕНИИ ** В ARCHIBUS Web Central версии 21.3.3.815 (версия от 2014 года) веб-приложение в /archibus/login.axvw назначает токен сессии, который может уже использоваться другим пользователем. Таким образом, был возможен доступ к приложению через пользователя, учетные данные которого не были известны, без каких-либо попыток тестировщиков изменить логику приложения. Также возможно установить значение токена сессии на стороне клиента просто путем выполнения аутентифицированного GET-запроса к Домашней странице и добавления произвольного значения в поле JSESSIONID. Приложение после входа не назначает новый токен, продолжая использовать введенный как идентификатор всей сессии. Это исправлено во всех последних версиях, таких как версия 26. ПРИМЕЧАНИЕ: Эта уязвимость затрагивает только продукты, которые больше не поддерживаются разработчиком. Версия 21.3 была официально снята с поддержки к концу 2020 года.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

Резервировать

22.09.2021

Раскрытие

05.10.2021

Модерация

принято

Вход

VDB-183903

EPSS

0.01203

KEV

Нет

Деятельности

Очень низкий

Источники

Do you want to use VulDB in your project?

Use the official API to access entries easily!