PT-2017-12736 · Simplesamlphp · Simplesamlphp

Publicado

2017-08-29

Atualizado

2022-05-13

CVE-2017-12867

CVSS v3.1

5.9

Média

Vetor

AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:H/A:N

Name of the Vulnerable Software and Affected Versions SimpleSAMLphp versions 1.14.14 and earlier

Description The issue allows attackers with access to a secret token to extend its validity period by manipulating the prepended time offset in the SimpleSAML Auth TimeLimitedToken class.

Recommendations For versions 1.14.14 and earlier, consider restricting access to the SimpleSAML Auth TimeLimitedToken class until a patch is available. As a temporary workaround, limit the ability to manipulate the time offset to prevent attackers from extending the token's validity period.

Exploit

Correção

Insufficient Session Expiration

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-613

Identificadores relacionados

CVE-2017-12867

DLA-1205-1

DSA-4127-1

GHSA-597C-MH7M-48V7

Produtos afetados

Simplesamlphp

PT-2017-12736 · Simplesamlphp · Simplesamlphp

CVE-2017-12867

Enumeração de Fraquezas

Identificadores relacionados

Produtos afetados

Referências · 29