PT-2020-16808 · Google+6 · Go+6

Jason Shepherd

·

Publicado

2020-12-17

·

Atualizado

2024-03-06

·

CVE-2020-27846

CVSS v2.0

10

Crítica

VetorAV:N/AC:L/Au:N/C:C/I:C/A:C
Nome do software vulnerável e versões afetadas
crewjam/saml (versões afetadas não especificadas)
Descrição
Existe uma falha na verificação de assinaturas, permitindo que um invasor contorne a autenticação SAML, representando uma ameaça à confidencialidade, integridade e disponibilidade do sistema. Essa falha pode ser explorada através da falsificação de parte de um documento XML assinado. O pacote encoding/xml do Go também é afetado, onde um documento XML malicioso pode fazer com que a validação da assinatura digital XML seja totalmente contornada.
Recomendações
No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

Exploit

Improper Authentication

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-115CWE-287

Identificadores relacionados

ALT-PU-2021-1180
ALT-PU-2022-1177
ALT-PU-2022-1249
BIT-GRAFANA-2020-27846
CESA-2021_1859
CVE-2020-27846
GHSA-4HQ8-GMXX-H6W9
GO-2021-0058
OESA-2021-1445
RHSA-2021:1859
RHSA-2021_1859
RLSA-2021:1859

Produtos afetados

Alt Linux
Centos
Grafana
Red Hat
Rocky Linux
Crewjam/Saml
Go