Apache - CVE-2026-40010

Il s'agit d'une vulnérabilité de fixation de session dans le composant AuthenticatedWebSession d'Apache Wicket.

Apache Wicket est un framework web open source orienté composants pour Java, maintenu par l'Apache Software Foundation. Il est utilisé pour le développement d'applications web côté serveur, avec une gestion des sessions utilisateur via l'API Servlet standard. Il est notamment déployé dans des applications d'entreprise et des portails métier Java.

Après une authentification réussie, Wicket procède à la liaison de la session utilisateur mais n'invoque pas la méthode Servlet changeSessionId(). L'identifiant de session établi avant l'authentification est donc conservé après celle-ci, sans rotation. Un attaquant ayant préalablement forcé ou observé un identifiant de session valide sur la victime peut ainsi conserver un accès à la session authentifiée sans avoir fourni de credentials.

Elle permet à un attaquant distant de prendre le contrôle d'une session authentifiée et d'accéder aux fonctionnalités et données accessibles à l'utilisateur légitime.