Krytyczna luka w Apache Wicket umożliwiająca atak session fixation
Krytyczna luka w Apache Wicket umożliwia atak session fixation. Zalecana aktualizacja do wersji 10.9.0 eliminuje zagrożenie.
- CVSS
- 9.1 CRITICAL
- EPSS
- 29.92%
- Aktywnie wykorzystywana
- brak w KEV
- Produkt
- wicket
Co wiadomo
W Apache Wicket wykryto poważną lukę polegającą na braku wywołania metody changeSessionId po powiązaniu sesji, co umożliwia atak session fixation. Luka dotyczy wersji od 8.0.0 do 8.17.0, 9.0.0 oraz od 10.0.0 do 10.8.0.
Wpływ biznesowy
Atak session fixation pozwala napastnikowi na przejęcie sesji użytkownika, co może prowadzić do nieautoryzowanego dostępu do aplikacji webowej i potencjalnego wycieku danych. Organizacje korzystające z podatnych wersji Apache Wicket są narażone na poważne zagrożenia bezpieczeństwa, które mogą wpłynąć na integralność i poufność systemów.
Rekomendowane działania administratora
Zaleca się niezwłoczne przeprowadzenie aktualizacji Apache Wicket do wersji 10.9.0, która zawiera poprawkę eliminującą tę lukę. W przypadku braku możliwości natychmiastowej aktualizacji, warto ograniczyć ekspozycję aplikacji, monitorować logi pod kątem podejrzanych aktywności oraz priorytetyzować wdrożenie poprawki.