Вектор уязвимости:

• Базовый вектор уязвимости (CVSSv3.1): CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:L/A:L
• Уровень критичности уязвимости (CVSSv3.1): 8.6 (high)
• Базовый вектор уязвимости (CVSSv4.0): CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:L/VA:L/SC:N/SI:N/SA:N
• Уровень критичности уязвимости (CVSSv4.0): 8.8 (high)

Описание уязвимости:

В Password Pusher была выявлена проблема, затрагивающая версии до 1.48.0.

Отсутствие ограничений времени хранения идентификаторов сессии позволяет злоумышленнику повторно использовать старые учетные данные или идентификаторы сеанса для авторизации от имени другого пользователя, чтобы получить несанкционированный доступ к приложению с соответствующими привилегиями.

Статус уязвимости: Подтверждена производителем

Дата исправления уязвимости: 04.11.2024

Рекомендации:

• Обновление до версии 1.48.0 или выше

Прочая информация: Бюллетень по безопасности

Исследователь: Positive Technologies