Hello,<div>My security team has run vulnerability tests ont spacewalk 1.5 and found 2 issues:</div><div>- One XSS flow on forgot password page</div><div>- Missing HTTPOnly tag in the cookie.</div><div><br></div><div>I've tried to add HTTPOnly tag in the cookie using mod_headers with apache, but the Overwiew page fails with error "Session error" when we add it.</div>
<div>This is the only page failing from my quick tests.</div><div>Is the cookie accessed from javascripts in spacewalk? Could it be possible to correct it?</div><div><br></div><div>I'll post later for the XSS flaw, I still need more information to give to you.</div>
<div><br></div><div>Thanks</div>