ID CVE-2020-15220
Summary Combodo iTop is a web based IT Service Management tool. In iTop before versions 2.7.2 and 3.0.0, two cookies are created for the same session, which leads to a possibility to steal user session. This is fixed in versions 2.7.2 and 3.0.0.
References
Vulnerable Configurations
  • cpe:2.3:a:combodo:itop:0.7.1:*:*:*:*:*:*:*
    cpe:2.3:a:combodo:itop:0.7.1:*:*:*:*:*:*:*
  • cpe:2.3:a:combodo:itop:0.7.1:beta:*:*:community:*:*:*
    cpe:2.3:a:combodo:itop:0.7.1:beta:*:*:community:*:*:*
  • cpe:2.3:a:combodo:itop:0.7.2:*:*:*:*:*:*:*
    cpe:2.3:a:combodo:itop:0.7.2:*:*:*:*:*:*:*
  • cpe:2.3:a:combodo:itop:0.8:*:*:*:*:*:*:*
    cpe:2.3:a:combodo:itop:0.8:*:*:*:*:*:*:*
  • cpe:2.3:a:combodo:itop:0.8.0:beta:*:*:community:*:*:*
    cpe:2.3:a:combodo:itop:0.8.0:beta:*:*:community:*:*:*
  • cpe:2.3:a:combodo:itop:0.8.1.3:*:*:*:*:*:*:*
    cpe:2.3:a:combodo:itop:0.8.1.3:*:*:*:*:*:*:*
  • cpe:2.3:a:combodo:itop:0.9:-:*:*:*:*:*:*
    cpe:2.3:a:combodo:itop:0.9:-:*:*:*:*:*:*
  • cpe:2.3:a:combodo:itop:0.9:beta:*:*:*:*:*:*
    cpe:2.3:a:combodo:itop:0.9:beta:*:*:*:*:*:*
  • cpe:2.3:a:combodo:itop:0.9.1:*:*:*:*:*:*:*
    cpe:2.3:a:combodo:itop:0.9.1:*:*:*:*:*:*:*
  • cpe:2.3:a:combodo:itop:0.9.1:beta:*:*:community:*:*:*
    cpe:2.3:a:combodo:itop:0.9.1:beta:*:*:community:*:*:*
  • cpe:2.3:a:combodo:itop:1.0:-:*:*:*:*:*:*
    cpe:2.3:a:combodo:itop:1.0:-:*:*:*:*:*:*
  • cpe:2.3:a:combodo:itop:1.0:beta:*:*:*:*:*:*
    cpe:2.3:a:combodo:itop:1.0:beta:*:*:*:*:*:*
  • cpe:2.3:a:combodo:itop:1.0.0:*:*:*:community:*:*:*
    cpe:2.3:a:combodo:itop:1.0.0:*:*:*:community:*:*:*
  • cpe:2.3:a:combodo:itop:1.0.1:*:*:*:*:*:*:*
    cpe:2.3:a:combodo:itop:1.0.1:*:*:*:*:*:*:*
  • cpe:2.3:a:combodo:itop:1.0.1:-:*:*:*:*:*:*
    cpe:2.3:a:combodo:itop:1.0.1:-:*:*:*:*:*:*
  • cpe:2.3:a:combodo:itop:1.0.2:-:*:*:*:*:*:*
    cpe:2.3:a:combodo:itop:1.0.2:-:*:*:*:*:*:*
  • cpe:2.3:a:combodo:itop:1.0.2:beta:*:*:*:*:*:*
    cpe:2.3:a:combodo:itop:1.0.2:beta:*:*:*:*:*:*
  • cpe:2.3:a:combodo:itop:1.1:-:*:*:*:*:*:*
    cpe:2.3:a:combodo:itop:1.1:-:*:*:*:*:*:*
  • cpe:2.3:a:combodo:itop:1.1:beta:*:*:*:*:*:*
    cpe:2.3:a:combodo:itop:1.1:beta:*:*:*:*:*:*
  • cpe:2.3:a:combodo:itop:1.1.0:*:*:*:community:*:*:*
    cpe:2.3:a:combodo:itop:1.1.0:*:*:*:community:*:*:*
  • cpe:2.3:a:combodo:itop:1.1.181:*:*:*:*:*:*:*
    cpe:2.3:a:combodo:itop:1.1.181:*:*:*:*:*:*:*
  • cpe:2.3:a:combodo:itop:1.2:-:*:*:*:*:*:*
    cpe:2.3:a:combodo:itop:1.2:-:*:*:*:*:*:*
  • cpe:2.3:a:combodo:itop:1.2:beta:*:*:*:*:*:*
    cpe:2.3:a:combodo:itop:1.2:beta:*:*:*:*:*:*
  • cpe:2.3:a:combodo:itop:1.2.0:*:*:*:community:*:*:*
    cpe:2.3:a:combodo:itop:1.2.0:*:*:*:community:*:*:*
  • cpe:2.3:a:combodo:itop:1.2.0:-:*:*:*:*:*:*
    cpe:2.3:a:combodo:itop:1.2.0:-:*:*:*:*:*:*
  • cpe:2.3:a:combodo:itop:1.2.0:rc282:*:*:*:*:*:*
    cpe:2.3:a:combodo:itop:1.2.0:rc282:*:*:*:*:*:*
  • cpe:2.3:a:combodo:itop:1.2.1:-:*:*:*:*:*:*
    cpe:2.3:a:combodo:itop:1.2.1:-:*:*:*:*:*:*
  • cpe:2.3:a:combodo:itop:1.2.1:beta:*:*:*:*:*:*
    cpe:2.3:a:combodo:itop:1.2.1:beta:*:*:*:*:*:*
  • cpe:2.3:a:combodo:itop:2.0:-:*:*:*:*:*:*
    cpe:2.3:a:combodo:itop:2.0:-:*:*:*:*:*:*
  • cpe:2.3:a:combodo:itop:2.0:beta:*:*:*:*:*:*
    cpe:2.3:a:combodo:itop:2.0:beta:*:*:*:*:*:*
  • cpe:2.3:a:combodo:itop:2.0:beta2:*:*:*:*:*:*
    cpe:2.3:a:combodo:itop:2.0:beta2:*:*:*:*:*:*
  • cpe:2.3:a:combodo:itop:2.0.0:*:*:*:community:*:*:*
    cpe:2.3:a:combodo:itop:2.0.0:*:*:*:community:*:*:*
  • cpe:2.3:a:combodo:itop:2.0.1:*:*:*:community:*:*:*
    cpe:2.3:a:combodo:itop:2.0.1:*:*:*:community:*:*:*
  • cpe:2.3:a:combodo:itop:2.0.1:-:*:*:*:*:*:*
    cpe:2.3:a:combodo:itop:2.0.1:-:*:*:*:*:*:*
  • cpe:2.3:a:combodo:itop:2.0.1:beta:*:*:*:*:*:*
    cpe:2.3:a:combodo:itop:2.0.1:beta:*:*:*:*:*:*
  • cpe:2.3:a:combodo:itop:2.0.2:*:*:*:community:*:*:*
    cpe:2.3:a:combodo:itop:2.0.2:*:*:*:community:*:*:*
  • cpe:2.3:a:combodo:itop:2.0.2:-:*:*:*:*:*:*
    cpe:2.3:a:combodo:itop:2.0.2:-:*:*:*:*:*:*
  • cpe:2.3:a:combodo:itop:2.0.2:beta:*:*:*:*:*:*
    cpe:2.3:a:combodo:itop:2.0.2:beta:*:*:*:*:*:*
  • cpe:2.3:a:combodo:itop:2.0.3:*:*:*:community:*:*:*
    cpe:2.3:a:combodo:itop:2.0.3:*:*:*:community:*:*:*
  • cpe:2.3:a:combodo:itop:2.0.3:-:*:*:*:*:*:*
    cpe:2.3:a:combodo:itop:2.0.3:-:*:*:*:*:*:*
  • cpe:2.3:a:combodo:itop:2.0.3:beta:*:*:*:*:*:*
    cpe:2.3:a:combodo:itop:2.0.3:beta:*:*:*:*:*:*
  • cpe:2.3:a:combodo:itop:2.1.0:*:*:*:community:*:*:*
    cpe:2.3:a:combodo:itop:2.1.0:*:*:*:community:*:*:*
  • cpe:2.3:a:combodo:itop:2.1.0:-:*:*:*:*:*:*
    cpe:2.3:a:combodo:itop:2.1.0:-:*:*:*:*:*:*
  • cpe:2.3:a:combodo:itop:2.1.0:beta:*:*:*:*:*:*
    cpe:2.3:a:combodo:itop:2.1.0:beta:*:*:*:*:*:*
  • cpe:2.3:a:combodo:itop:2.2.0:*:*:*:community:*:*:*
    cpe:2.3:a:combodo:itop:2.2.0:*:*:*:community:*:*:*
  • cpe:2.3:a:combodo:itop:2.2.0:-:*:*:*:*:*:*
    cpe:2.3:a:combodo:itop:2.2.0:-:*:*:*:*:*:*
  • cpe:2.3:a:combodo:itop:2.2.0:beta:*:*:*:*:*:*
    cpe:2.3:a:combodo:itop:2.2.0:beta:*:*:*:*:*:*
  • cpe:2.3:a:combodo:itop:2.2.1:*:*:*:*:*:*:*
    cpe:2.3:a:combodo:itop:2.2.1:*:*:*:*:*:*:*
  • cpe:2.3:a:combodo:itop:2.3.0:-:*:*:*:*:*:*
    cpe:2.3:a:combodo:itop:2.3.0:-:*:*:*:*:*:*
  • cpe:2.3:a:combodo:itop:2.3.0:beta:*:*:*:*:*:*
    cpe:2.3:a:combodo:itop:2.3.0:beta:*:*:*:*:*:*
  • cpe:2.3:a:combodo:itop:2.3.1:*:*:*:*:*:*:*
    cpe:2.3:a:combodo:itop:2.3.1:*:*:*:*:*:*:*
  • cpe:2.3:a:combodo:itop:2.3.2:*:*:*:community:*:*:*
    cpe:2.3:a:combodo:itop:2.3.2:*:*:*:community:*:*:*
  • cpe:2.3:a:combodo:itop:2.3.3:*:*:*:*:*:*:*
    cpe:2.3:a:combodo:itop:2.3.3:*:*:*:*:*:*:*
  • cpe:2.3:a:combodo:itop:2.3.4:*:*:*:*:*:*:*
    cpe:2.3:a:combodo:itop:2.3.4:*:*:*:*:*:*:*
  • cpe:2.3:a:combodo:itop:2.4.0:-:*:*:*:*:*:*
    cpe:2.3:a:combodo:itop:2.4.0:-:*:*:*:*:*:*
  • cpe:2.3:a:combodo:itop:2.4.0:beta:*:*:*:*:*:*
    cpe:2.3:a:combodo:itop:2.4.0:beta:*:*:*:*:*:*
  • cpe:2.3:a:combodo:itop:2.4.1:*:*:*:*:*:*:*
    cpe:2.3:a:combodo:itop:2.4.1:*:*:*:*:*:*:*
  • cpe:2.3:a:combodo:itop:2.4.2:*:*:*:community:*:*:*
    cpe:2.3:a:combodo:itop:2.4.2:*:*:*:community:*:*:*
  • cpe:2.3:a:combodo:itop:2.4.3:*:*:*:*:*:*:*
    cpe:2.3:a:combodo:itop:2.4.3:*:*:*:*:*:*:*
  • cpe:2.3:a:combodo:itop:2.5.0:-:*:*:*:*:*:*
    cpe:2.3:a:combodo:itop:2.5.0:-:*:*:*:*:*:*
  • cpe:2.3:a:combodo:itop:2.5.0:beta:*:*:*:*:*:*
    cpe:2.3:a:combodo:itop:2.5.0:beta:*:*:*:*:*:*
  • cpe:2.3:a:combodo:itop:2.5.1:*:*:*:*:*:*:*
    cpe:2.3:a:combodo:itop:2.5.1:*:*:*:*:*:*:*
  • cpe:2.3:a:combodo:itop:2.6.0:*:*:*:community:*:*:*
    cpe:2.3:a:combodo:itop:2.6.0:*:*:*:community:*:*:*
  • cpe:2.3:a:combodo:itop:2.6.0:-:*:*:*:*:*:*
    cpe:2.3:a:combodo:itop:2.6.0:-:*:*:*:*:*:*
  • cpe:2.3:a:combodo:itop:2.6.0:beta:*:*:*:*:*:*
    cpe:2.3:a:combodo:itop:2.6.0:beta:*:*:*:*:*:*
  • cpe:2.3:a:combodo:itop:2.6.1:*:*:*:*:*:*:*
    cpe:2.3:a:combodo:itop:2.6.1:*:*:*:*:*:*:*
  • cpe:2.3:a:combodo:itop:2.6.3:*:*:*:community:*:*:*
    cpe:2.3:a:combodo:itop:2.6.3:*:*:*:community:*:*:*
  • cpe:2.3:a:combodo:itop:2.6.4:*:*:*:community:*:*:*
    cpe:2.3:a:combodo:itop:2.6.4:*:*:*:community:*:*:*
  • cpe:2.3:a:combodo:itop:2.6.4:*:*:*:essential:*:*:*
    cpe:2.3:a:combodo:itop:2.6.4:*:*:*:essential:*:*:*
  • cpe:2.3:a:combodo:itop:2.6.4:*:*:*:professional:*:*:*
    cpe:2.3:a:combodo:itop:2.6.4:*:*:*:professional:*:*:*
  • cpe:2.3:a:combodo:itop:2.7:-:*:*:*:*:*:*
    cpe:2.3:a:combodo:itop:2.7:-:*:*:*:*:*:*
  • cpe:2.3:a:combodo:itop:2.7.0:*:*:*:-:*:*:*
    cpe:2.3:a:combodo:itop:2.7.0:*:*:*:-:*:*:*
  • cpe:2.3:a:combodo:itop:2.7.0:*:*:*:essential:*:*:*
    cpe:2.3:a:combodo:itop:2.7.0:*:*:*:essential:*:*:*
  • cpe:2.3:a:combodo:itop:2.7.0:*:*:*:professional:*:*:*
    cpe:2.3:a:combodo:itop:2.7.0:*:*:*:professional:*:*:*
  • cpe:2.3:a:combodo:itop:2.7.0:-:*:*:community:*:*:*
    cpe:2.3:a:combodo:itop:2.7.0:-:*:*:community:*:*:*
  • cpe:2.3:a:combodo:itop:2.7.0:beta:*:*:community:*:*:*
    cpe:2.3:a:combodo:itop:2.7.0:beta:*:*:community:*:*:*
  • cpe:2.3:a:combodo:itop:2.7.0:beta2:*:*:community:*:*:*
    cpe:2.3:a:combodo:itop:2.7.0:beta2:*:*:community:*:*:*
  • cpe:2.3:a:combodo:itop:2.7.0-1:*:*:*:community:*:*:*
    cpe:2.3:a:combodo:itop:2.7.0-1:*:*:*:community:*:*:*
  • cpe:2.3:a:combodo:itop:2.7.0-2:*:*:*:community:*:*:*
    cpe:2.3:a:combodo:itop:2.7.0-2:*:*:*:community:*:*:*
  • cpe:2.3:a:combodo:itop:3.0.0:alpha:*:*:*:*:*:*
    cpe:2.3:a:combodo:itop:3.0.0:alpha:*:*:*:*:*:*
CVSS
Base: 5.8 (as of 15-01-2021 - 14:46)
Impact:
Exploitability:
CWE CWE-613
CAPEC
Access
VectorComplexityAuthentication
NETWORK MEDIUM NONE
Impact
ConfidentialityIntegrityAvailability
PARTIAL PARTIAL NONE
cvss-vector via4 AV:N/AC:M/Au:N/C:P/I:P/A:N
refmap via4
confirm https://github.com/Combodo/iTop/security/advisories/GHSA-qw4q-cmcv-7vv2
Last major update 15-01-2021 - 14:46
Published 13-01-2021 - 17:15
Last modified 15-01-2021 - 14:46
Back to Top