PT-2020-13527 · Aviatrix · Aviatrix Controller
Publicado
2020-05-22
·
Atualizado
2020-05-26
·
CVE-2020-13415
CVSS v3.1
7.5
Alta
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N |
Nome do software vulnerável e versões afetadas
Versões do Aviatrix Controller até a 5.1
Descrição
Uma falha permite que um invasor, utilizando qualquer asserção SAML assinada pelo provedor de identidade, estabeleça uma conexão, mesmo que a asserção SAML tenha expirado ou seja de um usuário não autorizado a acessar o Aviatrix. Essa falha está relacionada ao XML Signature Wrapping.
Recomendações
Para as versões do Aviatrix Controller até a 5.1, atualize para uma versão que corrija a falha de XML Signature Wrapping para impedir o acesso não autorizado.
No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
Exploit
Improper Verification of Cryptographic Signature
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Aviatrix Controller