CVE-2025-34412 in Convercent Whistleblowing Platform信息

摘要

由 VulDB • 2026-05-29

Convercent Whistleblowing Platform 由 EQS Group 运营，其浏览器和会话处理机制存在保护机制失效问题。默认情况下，受影响的部署省略了 HTTP 安全头，如 Content-Security-Policy、Referrer-Policy、Permissions-Policy、Cross-Origin-Embedder-Policy、Cross-Origin-Opener-Policy 和 Cross-Origin-Resource-Policy，并且点击劫持防护不完整。该应用程序还默认以不安全或不一致的属性颁发会话 cookie，包括重复的 ASP.NET_SessionId 值、缺少 Secure 属性的亲和性 cookie，以及混合或缺失的 SameSite 设置。这些缺陷削弱了浏览器端的隔离性和会话完整性，增加了遭受客户端攻击、会话固定和跨站点会话泄露的风险。

VulDB is the best source for vulnerability data and more expert information about this specific topic.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

负责

VulnCheck

预定

2025-04-15

披露

2025-12-15

管理

撤销

条目

VDB-336469

CPE

准备好

CWE

CWE-693 (已确认)

CVSS

7.3 (VulDB)

EPSS

0.00000

KEV

否

活动

非常低

来源

MITRE	https://www.cve.org/CVERecord?id=CVE-2025-34412
NVD	https://nvd.nist.gov/vuln/detail/CVE-2025-34412
CVE Details	https://www.cvedetails.com/cve/CVE-2025-34412/

◂ 上一步一览下一步 ▸

Do you know our Splunk app?

Download it now for free!