Recentemente, removemos o jsessionid do URL e fizemos o gerenciamento de sessões com base em cookies para impedir o "ataque de seqüestro de sessão"

Porém, descobrimos que o URL da primeira solicitação sempre tem jsessionid quando os cookies estão ativados e o URL da solicitação subsequente NÃO possui jsessionid.

usando o jsessionid do primeiro URL, podemos acessar diretamente outras páginas do fluxo de trabalho

Pergunta: existe alguma vulnerabilidade de segurança que expõe o jsessionid somente na primeira solicitação?

Existe uma solução para remover o jsessionid da primeira solicitação, mas queria verificar se é realmente vulnerável exigir as alterações

obrigado J

Edição: Eu tenho minha dúvida esclarecida. Obrigado pelas respostas.