CVE-2024-58317：Kentico Xperience 中HTTPS会话敏感Cookie缺失’Secure’属性

严重性：中等 类型：漏洞 CVE ID：CVE-2024-58317

Kentico Xperience中存在一个Cookie安全配置漏洞，允许攻击者通过web.config设置管理cookie时绕过SSL要求。该漏洞通过错误处理requireSSL属性影响了.NET Framework项目，可能危及会话安全与身份验证状态。

技术摘要

CVE-2024-58317标识了在基于.NET Framework构建的流行网站内容管理系统Kentico Xperience中存在的一个Cookie安全配置漏洞。该问题源于web.config文件中requireSSL属性的错误处理，该属性本意是为用于管理会话的Cookie强制添加Secure标志。缺少Secure属性，Cookie可以通过未加密的HTTP连接传输，从而使其面临通过中间人攻击被拦截的风险。此漏洞允许攻击者在设置管理cookie时绕过SSL要求，可能危及会话的机密性和身份验证状态。该漏洞影响所有依赖此配置机制的Kentico Xperience版本。CVSS 4.0评分为6.9，反映了中等严重级别，攻击向量基于网络，无需特权或用户交互，并影响机密性。目前尚未有已知的在野利用报告，但该漏洞对会话安全构成了明确的风险。对于管理界面可通过公共网络访问或提供混合HTTP/HTTPS内容的环境，此缺陷尤为关键。正确的Cookie安全是防御会话劫持和未授权访问的基础，这使得该漏洞成为依赖Kentico Xperience进行网络管理的组织需要重点关注的问题。

潜在影响

CVE-2024-58317的主要影响是Kentico Xperience管理门户的会话机密性和身份验证完整性可能受到损害。攻击者可以拦截未设置Secure属性并通过未加密HTTP连接传输的会话cookie，从而启用会话劫持和未授权的管理访问。对于欧洲组织，这可能导致网站内容被未授权更改、数据泄露或管理权限被进一步利用。该漏洞破坏了安全会话管理的可信度，并可能促进在受感染网络内的横向移动。拥有面向公众的管理界面或使用混合HTTP/HTTPS配置的组织尤其脆弱。影响还延伸到GDPR下的监管合规风险，因为对个人数据或管理控制权的未授权访问可能导致数据泄露及相关处罚。中等严重性评级表明风险显著但非关键，强调需要及时修复以防止被利用。

缓解建议

为缓解CVE-2024-58317，组织应：

1. 检查并更新Kentico Xperience安装中的web.config文件，为所有敏感Cookie明确将requireSSL属性设置为true，确保应用Secure标志。
2. 在所有管理和用户门户上强制使用HTTPS，以防止Cookie通过未加密的渠道传输。
3. 使用浏览器开发者工具或安全扫描器进行全面测试，以确认Cookie仅通过安全连接传输。
4. 实施HTTP严格传输安全（HSTS）标头，以强制使用HTTPS并防止降级攻击。
5. 定期审计和监控Web服务器配置及应用程序设置，确保符合安全的Cookie实践。
6. 教育开发和运维团队有关安全Cookie属性和会话管理的最佳实践。
7. 保持关注Kentico的安全公告，并在可用时及时应用补丁或更新。
8. 考虑网络级保护措施，如Web应用防火墙（WAF），以检测和阻止可疑的会话劫持尝试。这些针对性措施超越了通用建议，直接解决了此漏洞根源处的特定错误配置。

受影响国家

德国、英国、法国、荷兰、瑞典、比利时