• 重大度スコア：7.3
• CVSS スコア：中
• セキュリティリスクの詳細:Web セッションに REST API セッション cookie を再利用すると、シングルサインオン (SSO) およびマルチファクター認証 (MFA) コントロールがバイパスされます。このバイパスは、意図した特権のエスカレーションにすることができます。SSO および MFA コントロールは、データへの不正アクセスを防止するための重要な要件です。

com.glide.processors.aprocessor.donot_reuse_api_sessionが true に設定されている場合:

• API セッション cookie を再利用して Web セッションを開始することはできなくなりました。
• 既存の API セッションに関係なく、すべての Web セッションで完全な認証 (SSO/MFA) が必要です。

破損の可能性:

• 再認証なしで API セッションから Web セッションに移行する機能に依存していたカスタム統合、スクリプト、または従来のワークフローは失敗します。
• 以前に API セッション cookie を使用して SSO/MFA をバイパスしていた自動化プロセスまたはツールは、強制的に完全な認証フローを完了する必要があります。
• ワークフローがこの動作に暗黙に依存していた場合、予期しない認証プロンプトが表示されることがあります。

有効にする前に、お客様は統合とカスタマイズを確認する必要があります。

• API および Web インターフェイスを介してインスタンスとやり取りするすべての統合、スクリプト、およびツールを監査します。
• API セッションと Web セッション間のシームレスな移行のためにセッション Cookie の再利用に依存している可能性があるものを特定します。