从这个网页截图中可以获取到以下关于漏洞的关键信息: 产品描述: - 该临床协作平台专为医疗保健行业设计,提供高级工具以整合、管理和无缝共享医疗图像和报告。 漏洞描述: - 发现了3个漏洞: - 会话令牌通过GET方法发送。 - 会话劫持:如果攻击者获得包含会话令牌的URL访问权限,他们将能够冒充用户账户,因为没有针对会话劫持的保护措施。 - 弱注销系统:即使在注销后,会话令牌仍然有效。 漏洞类型: - CWE-598:使用GET请求方法与敏感查询字符串 示例易受攻击的URL: - 供应商: - Carestream Health, Inc. 受影响的产品: - Clinical Collaboration Platform V12.2.1.5 可能之前的版本也受到影响 受影响的组件: - 会话令牌 攻击向量: - 远程 代码执行: - 否 攻击向量: - 攻击者可以通过拦截请求或访问浏览历史来利用此漏洞,以获取机密数据,从而损害应用程序的隐私和安全性。 参考: - CWE-598 - PortSwigger知识库 发现者: - Kauan Akyra Watanabe Ferreira (Ak7r4)