セッションハイジャック
日付
30 Dec 2015
説明
Play 1 のセッション処理に脆弱性が発見されました。
サードパーティが他の進行中のリクエストのセッション情報を取得することが可能です。
影響
500 エラーページの処理でセッションを使用するアプリケーションはすべて攻撃の影響を受けます。
影響を受けるバージョン
- Play 1.4.0
- Play 1.3.0 - 1.3.2
- Play 1.2.6 - 1.2.6.1
- Play 1.0 - 1.2.5.5
回避策
500 エラーページを生成するときにセッションを使用しないでください。
修正
以下の適切なバージョンにアップグレードしてください
謝辞
Codeborne がこの脆弱性を見つけました。