会话劫持
日期
2015 年 12 月 30 日
描述
在 Play 1 的会话处理中发现了一个漏洞。
第三方可以获取另一个正在进行的请求的会话信息。
影响
任何在处理 500 错误页面时使用会话的应用程序都容易受到攻击。
受影响的版本
- Play 1.4.0
- Play 1.3.0 - 1.3.2
- Play 1.2.6 - 1.2.6.1
- Play 1.0 - 1.2.5.5
解决方法
在生成 500 错误页面时不要使用会话。
修复
升级到以下适当的版本
致谢
发现此漏洞的功劳归于 Codeborne。