Hola cris,
yo creo que te estás cargando por alguna parte la sesión, y al acceder a ella mediante el "request.getSession()" te está creando una nueva que no tiene el atributo ese... No sé dónde, si en esa página o en algua otra parte...

Yo cambiaría esa forma de recoger el objeto session de la request y utilizaría "request.getSession(false)", así no te va a crear una sesión nueva aunque no exista.
Y utilizaría "request.getSession(true) cuando sea necesario obtener una sesión aunque no exista, es decir, al hacer login o cosas así. Al menos de esta manera te aseguras que el programa haga SOLO lo que tú quieras, y no que pueda hacer alguna cosa inesperada como crear una sesión nueva donde no debe...

Saludos