Kevinroh-Okta

**Nome do Software Vulnerável e Versões Afetadas** passport-wsfed-saml2 versões 3.0.5 a 4.6.3 **Descrição** Uma vulnerabilidade no passport-wsfed-saml2 permite que um atacante se passe por qualquer usuário no tenant do Auth0 durante a autenticação SAML, forjando um SAMLResponse. Isso pode ser feito utilizando um objeto SAML válido que foi assinado pelo IdP configurado. Os usuários são afetados especificamente quando o provedor de serviço está utilizando o passport-wsfed-saml2 e um documento SAML válido assinado pelo Provedor de Identidade pode ser obtido. **Recomendações** Para as versões de 3.0.5 a 4.6.3, atualize para a versão 4.6.4 para resolver o problema. Como solução alternativa temporária, considere restringir o acesso à autenticação SAML até que a atualização seja aplicada. Evite utilizar o objeto `SAMLResponse` no fluxo de autenticação afetado até que o problema seja resolvido.

**Nome do Software Vulnerável e Versões Afetadas** passport-wsfed-saml2 versões 3.0.5 a 4.6.3 **Descrição** Uma vulnerabilidade no passport-wsfed-saml2 permite que um atacante se passe por qualquer usuário durante a autenticação SAML ao adulterar uma resposta SAML válida. Isso pode ser feito adicionando atributos à resposta. Os usuários são afetados quando o provedor de serviço utiliza `passport-wsfed-saml2` e uma Resposta SAML válida assinada pelo Provedor de Identidade pode ser obtida. **Recomendações** Para as versões 3.0.5 a 4.6.3, atualize para a versão 4.6.4 para resolver o problema. Como medida temporária, considere restringir o uso do recurso de autenticação SAML até que a atualização seja aplicada. Evite utilizar a estratégia `passport-wsfed-saml2` para o protocolo SAML2 até que o problema seja resolvido.