CVE-2021-41553 in Web Central
Tóm tắt
Bởi VulDB • 10/07/2026
** KHÔNG ĐƯỢC HỖ TRỢ KHI GÁN ** Trong ARCHIBUS Web Central 21.3.3.815 (một phiên bản từ năm 2014), ứng dụng web tại /archibus/login.axvw gán một mã thông báo phiên (session token) có thể đã được sử dụng bởi người dùng khác. Do đó, việc truy cập vào ứng dụng thông qua tài khoản của một người dùng mà không biết mật khẩu là khả thi, mà không cần bất kỳ nỗ lực nào từ phía những người thử nghiệm để sửa đổi logic của ứng dụng. Ngoài ra, cũng có thể thiết lập giá trị của mã thông báo phiên ở phía máy khách (client-side) chỉ bằng cách thực hiện một yêu cầu GET chưa xác thực đến Trang chủ và thêm một giá trị tùy ý vào trường JSESSIONID. Sau khi đăng nhập, ứng dụng không gán lại một mã thông báo mới mà tiếp tục sử dụng giá trị đã chèn làm định danh cho toàn bộ phiên. Lỗ hổng này đã được khắc phục trong tất cả các phiên bản gần đây, chẳng hạn như phiên bản 26. LƯU Ý: Lỗ hổng này chỉ ảnh hưởng đến các sản phẩm không còn được nhà bảo trì hỗ trợ nữa. Phiên bản 21.3 chính thức ngừng được hỗ trợ vào cuối năm 2020.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.