CVSS: 6.5EPSS: 0%CPEs: 1EXPL: 1CVE-2018-1000814
https://notcve.org/view.php?id=CVE-2018-1000814
aio-libs aiohttp-session version 2.6.0 and earlier contains a Other/Unknown vulnerability in EncryptedCookieStorage and NaClCookieStorage that can result in Non-expiring sessions / Infinite lifespan. This attack appear to be exploitable via Recreation of a cookie post-expiry with the same value. aio-libs aiohttp-session, en versiones 2.6.0 y anteriores, contiene una vulnerabilidad desconocida en EncryptedCookieStorage y NaClCookieStorage que puede resultar en sesiones que no expiran/infinitas. El ataque parece ser explotable mediante la recreación de una cookie tras la expiración con el mismo valor. • https://github.com/aio-libs/aiohttp-session/issues/325 https://github.com/aio-libs/aiohttp-session/pull/331 • CWE-613: Insufficient Session Expiration •