CVE-2026-25101

EPSS 0.06%
Veröffentlicht 27.03.2026 12:16:20
Zuletzt bearbeitet 02.04.2026 20:53:39
Quelle cvd@cert.pl
CVE-Watchlists
Login
Unerledigt
Login

Bludit allows user's session identifier to be set before authentication. The value of this session ID stays the same after authentication. This behavior enables an attacker to fix a session ID
for a victim and later hijack the authenticated session.

This issue was fixed in version 3.17.2.

Betroffene Produkte Warnungen 0 Metriken 3 CWE 1 Referenzen 5

Verknüpft mit AI von unstrukturierten Daten zu bestehenden CPE der NVD

Diese Information steht angemeldeten Benutzern zur Verfügung.

Daten sind bereitgestellt durch National Vulnerability Database (NVD)

Bludit ≫ Bludit Version < 3.17.2

Zu dieser CVE wurde keine CISA KEV oder CERT.AT-Warnung gefunden.

EPSS Metriken
Typ	Quelle	Score	Percentile
EPSS	FIRST.org	0.06%	0.183

CVSS Metriken
Quelle	Base Score	Exploit Score	Impact Score	Vector String
nvd@nist.gov	9.8	3.9	5.9	CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
cvd@cert.pl	4.8	0	0	CVSS:4.0/AV:L/AC:L/AT:N/PR:N/UI:P/VC:L/VI:L/VA:N/SC:N/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X

CWE-384 Session Fixation

Authenticating a user, or otherwise establishing a new user session, without invalidating any existing session identifier gives an attacker the opportunity to steal authenticated sessions.

https://cert.pl/posts/2026/03/CVE-2026-25099

Third Party Advisory

https://github.com/bludit/bludit/releases/tag/3.17.2

Release Notes

https://nvd.nist.gov/vuln/detail/CVE-2026-25101

CVE Source (NVD)

https://cveawg.mitre.org/api/cve/CVE-2026-25101

CVE Source (JSON)

https://euvd.enisa.europa.eu/vulnerability/CVE-2026-25101

EUVD

Team-orientierte Vulnerability Management Plattform

Features der Plattform

CVE-2026-25101