Вразливість CVE-2026-40010 у Apache Wicket дозволяє атаки фіксації сесії

Вразливість CVE-2026-40010 у Apache Wicket дозволяє атаки фіксації сесії. Оновіть до версії 10.9.0 для захисту від компрометації.
CVE-2026-40010CVSS 9.1Web

Вразливість CVE-2026-40010 у Apache Wicket дозволяє атаки фіксації сесії

Вразливість CVE-2026-40010 у Apache Wicket дозволяє атаки фіксації сесії. Оновіть до версії 10.9.0 для захисту від компрометації.

CVSS
9.1 CRITICAL
EPSS
29.92%
Активно використовується
немає в KEV
Продукт
wicket

Що відомо

У Apache Wicket виявлено критичну вразливість, пов’язану з відсутністю виклику методу changeSessionId після прив’язки сесії, що може призвести до атаки фіксації сесії. Проблема зачіпає версії від 8.0.0 до 8.17.0, 9.0.0 та від 10.0.0 до 10.8.0.

Бізнес-вплив

Ця вразливість дозволяє зловмисникам захопити сесію користувача, що може призвести до несанкціонованого доступу до веб-додатків, побудованих на Apache Wicket. Для ІТ-операторів це означає підвищений ризик компрометації користувацьких даних і потенційні порушення безпеки інфраструктури.

Рекомендовані дії адміністратора

Рекомендується оновити Apache Wicket до версії 10.9.0 або новішої, де ця вразливість виправлена. Якщо оновлення наразі неможливе, слід обмежити доступ, ретельно моніторити журнали безпеки на ознаки атак та оцінити ризики для пріоритетного усунення проблеми.

Джерела