Krytyczna luka w Apache Wicket umożliwiająca atak session fixation

Krytyczna luka w Apache Wicket umożliwia atak session fixation. Zalecana aktualizacja do wersji 10.9.0 eliminuje zagrożenie.
CVE-2026-40010CVSS 9.1Web

Krytyczna luka w Apache Wicket umożliwiająca atak session fixation

Krytyczna luka w Apache Wicket umożliwia atak session fixation. Zalecana aktualizacja do wersji 10.9.0 eliminuje zagrożenie.

CVSS
9.1 CRITICAL
EPSS
29.92%
Aktywnie wykorzystywana
brak w KEV
Produkt
wicket

Co wiadomo

W Apache Wicket wykryto poważną lukę polegającą na braku wywołania metody changeSessionId po powiązaniu sesji, co umożliwia atak session fixation. Luka dotyczy wersji od 8.0.0 do 8.17.0, 9.0.0 oraz od 10.0.0 do 10.8.0.

Wpływ biznesowy

Atak session fixation pozwala napastnikowi na przejęcie sesji użytkownika, co może prowadzić do nieautoryzowanego dostępu do aplikacji webowej i potencjalnego wycieku danych. Organizacje korzystające z podatnych wersji Apache Wicket są narażone na poważne zagrożenia bezpieczeństwa, które mogą wpłynąć na integralność i poufność systemów.

Rekomendowane działania administratora

Zaleca się niezwłoczne przeprowadzenie aktualizacji Apache Wicket do wersji 10.9.0, która zawiera poprawkę eliminującą tę lukę. W przypadku braku możliwości natychmiastowej aktualizacji, warto ograniczyć ekspozycję aplikacji, monitorować logi pod kątem podejrzanych aktywności oraz priorytetyzować wdrożenie poprawki.

Źródła