CVSS: 7.8EPSS: 0%CPEs: 1EXPL: 0CVE-2024-22250 – Session Hijack Vulnerability in Deprecated EAP Browser Plugin
https://notcve.org/view.php?id=CVE-2024-22250
Session Hijack vulnerability in Deprecated VMware Enhanced Authentication Plug-in could allow a malicious actor with unprivileged local access to a windows operating system can hijack a privileged EAP session when initiated by a privileged domain user on the same system. La vulnerabilidad de secuestro de sesión en el obsoleto complemento de autenticación mejorada de VMware podría permitir que un actor malicioso con acceso local sin privilegios a un sistema operativo Windows pueda secuestrar una sesión EAP privilegiada cuando la inicia un usuario de dominio privilegiado en el mismo sistema. • https://www.vmware.com/security/advisories/VMSA-2024-0003.html • CWE-384: Session Fixation •
CVSS: 9.6EPSS: 0%CPEs: 1EXPL: 0CVE-2024-22245 – Arbitrary Authentication Relay Vulnerability in Deprecated EAP Browser Plugin
https://notcve.org/view.php?id=CVE-2024-22245
Arbitrary Authentication Relay and Session Hijack vulnerabilities in the deprecated VMware Enhanced Authentication Plug-in (EAP) could allow a malicious actor that could trick a target domain user with EAP installed in their web browser into requesting and relaying service tickets for arbitrary Active Directory Service Principal Names (SPNs). Las vulnerabilidades de retransmisión de autenticación arbitraria y secuestro de sesión en el obsoleto complemento de autenticación mejorada (EAP) de VMware podrían permitir que un actor malicioso engañe a un usuario de dominio de destino con EAP instalado en su navegador web para que solicite y retransmita tickets de servicio para un principal de Active Directory Service Principal Names (SPNs). • https://www.vmware.com/security/advisories/VMSA-2024-0003.html • CWE-287: Improper Authentication •