この製品では、異なるセッションの状態間の境界が十分に強制されていないため、データが誤ったセッションに提供されたり、誤ったセッションによって使用されたりする。
データは、Servletのようなシングルトンオブジェクトのメンバ変数や、共有プールのオブジェクトを通じて、あるセッションから別のセッションに「流出」する可能性がある。
Servletの場合、ServletがSingleThreadModelインターフェイスを実装していない限り、Servletはシングルトンであり、Servletのインスタンスは1つしかなく、その1つのインスタンスは異なるスレッドによって同時に処理される複数のリクエストを処理するために使用され、再利用されるということを開発者は理解していないことがあります。よくある結果は、開発者がServletのメンバーフィールドを、あるユーザーが別のユーザーのデータを不注意に見てしまうような方法で使ってしまうことです。言い換えれば、Servletメンバーフィールドにユーザーデータを格納することは、データアクセスの競合状態を引き起こします。
The product does not sufficiently enforce boundaries between the states of different sessions, causing data to be provided to, or used by, the wrong session.
Data can "bleed" from one session to another through member variables of singleton objects, such as Servlets, and objects from a shared pool.
In the case of Servlets, developers sometimes do not understand that, unless a Servlet implements the SingleThreadModel interface, the Servlet is a singleton; there is only one instance of the Servlet, and that single instance is used and re-used to handle multiple requests that are processed simultaneously by different threads. A common result is that developers use Servlet member fields in such a way that one user may inadvertently see another user's data. In other words, storing user data in Servlet member fields introduces a data access race condition.