PT-2020-17180 · Go+1 · Encoding/Xml Package+2
Publicado
2020-12-14
·
Atualizado
2024-03-06
·
CVE-2020-29509
CVSS v3.1
9.8
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Pacote encoding/xml em Go (todas as versões)
Descrição
A vulnerabilidade permite que um invasor crie entradas que se comportam de maneira conflitante durante diferentes estágios de processamento em aplicativos downstream afetados. Isso pode fazer com que a validação da assinatura digital XML seja totalmente contornada, fazendo com que um documento não assinado pareça assinado. Dada uma resposta SAML válida, pode ser possível para um invasor alterar o documento XML, possibilitando ataques como o acesso de usuários a contas diferentes daquela na qual se autenticaram ou o contorno total da autenticação.
Recomendações
Para o pacote encoding/xml em Go, atualize para uma versão que inclua as correções necessárias, como a gosaml2 versão 0.6.0 ou superior, se aplicável ao seu caso de uso específico.
Como solução alternativa temporária, considere restringir o processamento de documentos XML para minimizar o risco de exploração.
Correção
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Debian
Encoding/Xml Package
Gosaml2