漏洞信息(CVE-2008-7295)

一、漏洞 CVE-2008-7295 基础信息

漏洞标题

N/A

来源：AIGC 神龙大模型

漏洞描述信息

微软的Internet Explorer无法正确限制在HTTPS会话中建立的安全cookie的修改，这允许中间人攻击者通过HTTP响应中的Set-Cookie头部来覆盖或删除任意的安全cookie，这是因为HTTP strict transport security(HSTS)包含子域名功能的缺失，也称为“cookie强制”问题。

来源：AIGC 神龙大模型

CVSS信息

CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:U/C:N/I:H/A:N

来源：AIGC 神龙大模型

漏洞类别

N/A

来源：AIGC 神龙大模型

漏洞标题

N/A

来源：美国国家漏洞数据库 NVD

漏洞描述信息

Microsoft Internet Explorer cannot properly restrict modifications to cookies established in HTTPS sessions, which allows man-in-the-middle attackers to overwrite or delete arbitrary cookies via a Set-Cookie header in an HTTP response, related to lack of the HTTP Strict Transport Security (HSTS) includeSubDomains feature, aka a "cookie forcing" issue.

来源：美国国家漏洞数据库 NVD

CVSS信息

N/A

来源：美国国家漏洞数据库 NVD

漏洞类别

N/A

来源：美国国家漏洞数据库 NVD

漏洞标题

Microsoft Internet Explorer Cookie修改漏洞

来源：中国国家信息安全漏洞库 CNNVD

漏洞描述信息

Microsoft Internet Explorer是美国微软（Microsoft）公司发布的Windows操作系统中默认捆绑的Web浏览器。 Microsoft Internet Explorer不能正确限制建立在HTTPS会话中的cookies的修改。中间人攻击者可借助HTTP响应中的Set-Cookie头覆盖或者删除任意cookies。

来源：中国国家信息安全漏洞库 CNNVD

CVSS信息

N/A

来源：中国国家信息安全漏洞库 CNNVD

漏洞类别

权限许可和访问控制问题

来源：中国国家信息安全漏洞库 CNNVD

二、漏洞 CVE-2008-7295 的公开POC

#	POC 描述	源链接	神龙链接

三、漏洞 CVE-2008-7295 的情报信息

http://michael-coates.blogspot.com/2010/01/cookie-forcing-trust-your-cookies-no.html x_refsource_MISC
http://code.google.com/p/browsersec/wiki/Part2#Same-origin_policy_for_cookies x_refsource_MISC
http://scarybeastsecurity.blogspot.com/2011/02/some-less-obvious-benefits-of-hsts.html x_refsource_MISC
https://bugzilla.mozilla.org/show_bug.cgi?id=660053 x_refsource_MISC
http://scarybeastsecurity.blogspot.com/2008/11/cookie-forcing.html x_refsource_MISC
https://nvd.nist.gov/vuln/detail/CVE-2008-7295

一、 漏洞 CVE-2008-7295 基础信息

漏洞标题

漏洞描述信息

CVSS信息

漏洞类别

漏洞标题

漏洞描述信息

CVSS信息

漏洞类别

漏洞标题

漏洞描述信息

CVSS信息

漏洞类别

二、漏洞 CVE-2008-7295 的公开POC

三、漏洞 CVE-2008-7295 的情报信息

一、漏洞 CVE-2008-7295 基础信息