VU#633103: Недостаточная аннулирование cookie сессии в платформе электронной коммерции nopCommerce ASP.NET Core

nopCommerce, популярная платформа электронной коммерции, страдает от критической уязвимости, связанной с сессионными куки. Платформа не аннулирует сессионные куки при выходе пользователя из системы или завершении сессии. Отсутствие аннулирования позволяет злоумышленникам перехватывать сессии пользователей, используя украденные куки, аналогично CVE-2019-7215. Злоумышленники могут получить эти сессионные куки различными способами, например, через XSS или перехват сети. Скомпрометированный куки предоставляет доступ к привилегированным областям, таким как панель администратора. Эта уязвимость затрагивает версии nopCommerce 4.70 и более ранние, а также версию 4.80.3. Перехват сессий — хорошо известный вектор атаки, часто используемый в финансовом мошенничестве и кампаниях с использованием программ-вымогателей. Злоумышленники используют украденные сессионные куки для различных вредоносных действий, включая продажу их в даркнете. Последствия успешной эксплуатации включают потенциальные финансовые потери и атаки программ-вымогателей. Исправление включает обновление до версии 4.90.3 или любой версии nopCommerce выше 4.70, за исключением версии 4.80.3. Пользователям настоятельно рекомендуется обновить свои установки nopCommerce для снижения этого риска.