Pysaml2 · Pysaml2 · CVE-2020-5390
**Nome do software vulnerável e versões afetadas**
Versões do PySAML2 anteriores à 5.0.0
**Descrição**
O problema está relacionado à verificação incorreta de assinaturas criptográficas em documentos SAML2, permitindo que um invasor remoto contorne as verificações de assinatura e acesse informações protegidas. Isso ocorre porque a biblioteca é afetada pelo XML Signature Wrapping (XSW), em que as informações da assinatura e o nó/objeto assinado podem estar em locais diferentes, fazendo com que a verificação da assinatura seja bem-sucedida, mas utilizando dados incorretos. Isso afeta especificamente a verificação de asserções que foram assinadas.
**Recomendações**
Para versões do PySAML2 anteriores à 5.0.0, atualize para a versão 5.0.0 ou posterior para resolver o problema. Como solução temporária, considere desativar o uso de asserções SAML2 até que um patch esteja disponível. Restrinja o acesso a informações confidenciais para minimizar o risco de exploração.