• Score de gravité : 4,3
• Score CVSS : moyen
• Détails du risque de sécurité : la réutilisation des cookies de session de l’API REST pour une session Web contourne les contrôles d’authentification unique (SSO) et d’authentification multifacteur (MFA). Ce contournement peut être une escalade des privilèges prévus. Les contrôles SSO et MFA sont des exigences importantes pour empêcher tout accès non autorisé aux données.

Quand com.glide.processors.aprocessor.donot_reuse_api_session est défini sur vrai :

• Les cookies de session d’API ne peuvent plus être réutilisés pour lancer des sessions Web.
• Toutes les sessions Web nécessitent une authentification complète (SSO/MFA), quelle que soit la session d’API existante.

Bris potentiel :

• Les intégrations personnalisées, les scripts ou les workflows hérités qui reposaient sur la possibilité de passer d’une session API à une session Web sans nouvelle authentification échoueront.
• Les processus ou outils automatisés qui contournaient auparavant le SSO/MFA à l’aide de cookies de session API sont forcés de terminer le flux d’authentification complet.
• Les utilisateurs peuvent rencontrer des invites d’authentification inattendues si leurs workflows s’appuyaient implicitement sur ce comportement.

Avant d’activer, les clients doivent passer en revue les intégrations et personnalisations :

• Auditez toutes les intégrations, tous les scripts et tous les outils qui interagissent avec l’instance via l’API et les interfaces Web.
• Identifiez ceux qui peuvent s’appuyer sur la réutilisation des cookies de session pour des transitions transparentes entre les sessions API et Web.