會話劫持
日期
2015 年 12 月 30 日
說明
在 Play 1 的會話處理中發現一個漏洞。
第三方有可能取得另一個進行中要求的會話資訊。
影響
任何在處理 500 錯誤頁面時使用會話的應用程式都容易受到攻擊。
受影響版本
- Play 1.4.0
- Play 1.3.0 - 1.3.2
- Play 1.2.6 - 1.2.6.1
- Play 1.0 - 1.2.5.5
解決方法
產生 500 錯誤頁面時,請勿使用會話。
修正
升級到以下適當版本
致謝
發現此漏洞的功勞歸功於 Codeborne。