CVE-2025-9108: Cabeçalhos X-Frame-Options ou Content-Security-Policy ausentes
CVE Publication: https://www.cve.org/CVERecord?id=CVE-2025-9108
Resumo
O aplicativo não implementa mecanismos de proteção contra Clickjacking. Isso permite que páginas legítimas sejam incorporadas em iframes maliciosos, levando os usuários a interagir com elementos invisíveis ou disfarçados, o que pode resultar em sequestro de sessão, ações não intencionais e outros ataques.
Detalhes
Endpoint vulnerável: https://x.x.x.x/login
A resposta HTTP da página não inclui os seguintes cabeçalhos:
Resposta HTTP do aplicativo:
| |
Essa ausência permite que o aplicativo seja incorporado a elementos iframe em sites de terceiros.
Impacto
- Execução de ações não autorizadas: Os invasores podem induzir os usuários a clicar em botões ou links ocultos, executando ações críticas sem o seu consentimento.
- Roubo de credenciais: Um clique disfarçado pode levar os usuários a inserir informações confidenciais, como logins e senhas.
- Transferência de fundos ou compras não autorizadas: Os usuários podem ser induzidos a autorizar transações financeiras em sites bancários ou de comércio eletrônico.
- Alteração das configurações da conta: Os invasores podem explorar o clickjacking para induzir as vítimas a desabilitar recursos de segurança ou alterar e-mails de recuperação.
- Instalação de malware: Cliques manipulados podem iniciar o download de arquivos maliciosos sem o conhecimento do usuário.
- Escalonamento de privilégios: Em aplicativos administrativos, uma Um clique pode conceder acesso elevado a invasores.
- Perda de confiança: O impacto psicológico e reputacional na organização pode ser significativo, pois os usuários percebem o site como inseguro.
Referência
https://vuldb.com/?submit.627923
Encontrado por:
By: CVE-Hunters