PT-2020-5164 · Pysaml2+2 · Pysaml2+2
Alexey Sintsov
+1
·
Publicado
2020-01-09
·
Atualizado
2024-07-12
·
CVE-2020-5390
CVSS v4.0
8.7
Alta
| Vetor | AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:H/VA:N/SC:N/SI:N/SA:N |
Nome do software vulnerável e versões afetadas
Versões do PySAML2 anteriores à 5.0.0
Descrição
O problema está relacionado à verificação incorreta de assinaturas criptográficas em documentos SAML2, permitindo que um invasor remoto contorne as verificações de assinatura e acesse informações protegidas. Isso ocorre porque a biblioteca é afetada pelo XML Signature Wrapping (XSW), em que as informações da assinatura e o nó/objeto assinado podem estar em locais diferentes, fazendo com que a verificação da assinatura seja bem-sucedida, mas utilizando dados incorretos. Isso afeta especificamente a verificação de asserções que foram assinadas.
Recomendações
Para versões do PySAML2 anteriores à 5.0.0, atualize para a versão 5.0.0 ou posterior para resolver o problema. Como solução temporária, considere desativar o uso de asserções SAML2 até que um patch esteja disponível. Restrinja o acesso a informações confidenciais para minimizar o risco de exploração.
Correção
Improper Verification of Cryptographic Signature
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Alt Linux
Pysaml2
Ubuntu