Cubecart 6.4.2 allows Session Fixation. The application does not generate a new session cookie after the user is logged in. A malicious user is able to create a new session cookie value and inject it to a victim. After the victim logs in, the injected cookie becomes valid, giving the attacker access to the user's account through the active session.
Cubecart versión 6.4.2, permite la fijación de sesiones. La aplicación no genera una nueva cookie de sesión después de que el usuario inicia sesión. Un usuario malicioso puede crear un nuevo valor de cookie de sesión e inyectarlo a una víctima. Después de que la víctima inicia sesión, la cookie inyectada se vuelve válida, dandole al atacante acceso a la cuenta del usuario por medio de la sesión activa
