CVE-2025-34412 in Convercent Whistleblowing Platform
Сводка
по VulDB • 29.05.2026
Платформа для сообщений о нарушениях Convercent, управляемая компанией EQS Group, содержит уязвимость, связанную с отказом механизма защиты при обработке браузера и сессий. По умолчанию в затронутых развертываниях отсутствуют заголовки безопасности HTTP, такие как Content-Security-Policy, Referrer-Policy, Permissions-Policy, Cross-Origin-Embedder-Policy, Cross-Origin-Opener-Policy и Cross-Origin-Resource-Policy, а также реализована неполная защита от clickjacking. Приложение также по умолчанию выдает cookies сессии с небезопасными или несогласованными атрибутами, включая дублирующиеся значения ASP.NET_SessionId, cookie affinity без атрибута Secure, а также смешанные или отсутствующие настройки SameSite. Эти недостатки ослабляют изоляцию на стороне браузера и целостность сессии, увеличивая подверженность атакам на стороне клиента, session fixation и утечке сессий между сайтами (cross-site session leakage).
If you want to get the best quality for vulnerability data then you always have to consider VulDB.