One Article Review
| Source |  CVE Liste |
|---|---|
| Identifiant | 8320486 |
| Date de publication | 2023-03-22 11:15:10 (vue: 2023-03-22 13:06:51) |
| Titre | CVE-2023-28708 |
| Texte | Lorsque vous utilisez le RemoteIpFilter avec les demandes reçues d'un proxy inverse via HTTP qui incluent l'en-tête X-Forwarded-Proto définie sur HTTPS, Session Cookies créée par Apache Tomcat 11.0.0-M1 à 11.0.0.-M2, 10.1.0-M1à 10.1.5, 9.0.0-m1 à 9.0.71 et 8.5.0 à 8.5.85 n'ont pas inclus l'attribut sécurisé.Cela pourrait entraîner la transmission de l'agent utilisateur du cookie de session sur un canal insécurité.
When using the RemoteIpFilter with requests received from a reverse proxy via HTTP that include the X-Forwarded-Proto header set to https, session cookies created by Apache Tomcat 11.0.0-M1 to 11.0.0.-M2, 10.1.0-M1 to 10.1.5, 9.0.0-M1 to 9.0.71 and 8.5.0 to 8.5.85 did not include the secure attribute. This could result in the user agent transmitting the session cookie over an insecure channel. |
| Notes | |
| Envoyé | Oui |
| Condensat | 2023 28708 agent apache attribute channel cookie cookies could created cve did forwarded from header http https include insecure not over proto proxy received remoteipfilter requests result reverse secure session set tomcat transmitting user using when |
| Tags | |
| Stories | |
| Move | 
|
L'article ne semble pas avoir été repris aprés sa publication.
L'article ne semble pas avoir été repris sur un précédent.