CVE-2026-4820IBM Maximo Application Suite 在 9.1, 9.0, 8.11 和 8.10 版本中存在安全漏洞,未在授权令牌或会话 Cookie 上设置 Secure 属性。这意味着这些敏感信息可能在非加密的 HTTP 连接中被传输。攻击者可以通过向用户发送恶意 HTTP 链接,或在用户访问的网络中进行流量监听,截获这些 Cookie 值。一旦获取 Cookie,攻击者即可利用其进行会话劫持,绕过身份验证机制,获取用户对系统的访问权限,从而导致数据泄露。
该漏洞的根源在于服务器端在设置 Cookie 时未包含 'Secure' 标志。根据 RFC 6265,Secure 属性用于指示浏览器仅通过安全(HTTPS)通道发送 Cookie。由于受影响的产品版本缺少此设置,即使应用程序支持 HTTPS,如果用户被诱导访问 HTTP 链接,或者中间人攻击者降级了连接,浏览器也会将包含会话 ID 的 Cookie 以明文形式发送。攻击者利用 ARP 欺骗或公共 Wi-Fi 监听等手段,捕获网络数据包,从中提取出 Cookie 信息。随后,攻击者可以将该 Cookie 注入到自己的浏览器请求中,从而冒充合法用户登录系统,造成严重的信息安全事故。