Вразливість CVE-2026-40010 у Apache Wicket дозволяє атаки фіксації сесії
Вразливість CVE-2026-40010 у Apache Wicket дозволяє атаки фіксації сесії. Оновіть до версії 10.9.0 для захисту від компрометації.
- CVSS
- 9.1 CRITICAL
- EPSS
- 29.92%
- Активно використовується
- немає в KEV
- Продукт
- wicket
Що відомо
У Apache Wicket виявлено критичну вразливість, пов’язану з відсутністю виклику методу changeSessionId після прив’язки сесії, що може призвести до атаки фіксації сесії. Проблема зачіпає версії від 8.0.0 до 8.17.0, 9.0.0 та від 10.0.0 до 10.8.0.
Бізнес-вплив
Ця вразливість дозволяє зловмисникам захопити сесію користувача, що може призвести до несанкціонованого доступу до веб-додатків, побудованих на Apache Wicket. Для ІТ-операторів це означає підвищений ризик компрометації користувацьких даних і потенційні порушення безпеки інфраструктури.
Рекомендовані дії адміністратора
Рекомендується оновити Apache Wicket до версії 10.9.0 або новішої, де ця вразливість виправлена. Якщо оновлення наразі неможливе, слід обмежити доступ, ретельно моніторити журнали безпеки на ознаки атак та оцінити ризики для пріоритетного усунення проблеми.