Vulnerabilità: CVE-2018-16958


Un problema è stato scoperto in Oracle WebCenter Interaction Portal 10.3.3. Il cookie di sessione primaria ASP.NET_SessionId, quando si utilizza Internet Information Services (IIS) con ASP.NET, non è protetta con l’attributo HttpOnly. Questo attributo non può essere attivata dai clienti. Di conseguenza, questo cookie è esposto ad attacchi di dirottamento di sessione dovrebbe essere un avversario in grado di eseguire JavaScript nell’origine dell’installazione portale. NOTA: questo CVE viene assegnato dal MITRE e non è convalidato da Oracle perché Oracle WebCenter Interaction Portal è fuori di supporto.
http://www.securityfocus.com/bid/105350
https://seclists.org/fulldisclosure/2018/Sep/22
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-16958

E' possibile lasciare un commento come utenti registrati al sito, accedendo tramite social, account wordpress oppure come utenti anonimi. Nel caso in cui si desideri lasciare un commento come utenti anonimi si verrà avvisati via email di un'eventuale risposta solo se si inserisce l'indirizzo email (facoltativo). L'inserimento di qualsiasi dato nei campi dei commenti è totalmente facoltativo. Chiunque decida di inserire un qualsiasi dato accetta il trattamento di questi ultimi per i fini inerenti al servizio ovvero la risposta al commento e le comunicazioni strettamente necessarie.


Rispondi