Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en IBM Security Directory Integrator e IBM Security Verify Directory Integrator (CVE-2024-28771)

Gravedad CVSS v3.1:
MEDIA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
27/01/2025
Última modificación:
27/01/2025

Descripción

IBM Security Directory Integrator 7.2.0 e IBM Security Verify Directory Integrator 10.0.0 no establecen el atributo seguro en tokens de autorización o cookies de sesión. Los atacantes pueden obtener los valores de las cookies enviando un enlace http:// a un usuario o colocando este enlace en un sitio al que accede el usuario. La cookie se enviará al enlace inseguro y el atacante podrá obtener el valor de la cookie espiando el tráfico.

Referencias a soluciones, herramientas e información