PT-2021-8018 · Pypi+2 · Pysaml2+2
Juraj Somorovsky
+2
·
Publicado
2021-01-21
·
Atualizado
2024-07-12
·
CVE-2021-21238
CVSS v2.0
7.8
Alta
| Vetor | AV:N/AC:L/Au:N/C:N/I:C/A:N |
Nome do software vulnerável e versões afetadas
Versões do PySAML2 anteriores à 6.5.0
Descrição
O problema está relacionado a uma verificação inadequada de assinaturas criptográficas, especificamente uma variante do encapsulamento de assinaturas XML. Isso ocorre porque o PySAML2 não valida documentos SAML em relação a um esquema XML, permitindo que documentos XML inválidos sejam processados. Tais documentos podem enganar o PySAML2 com uma assinatura encapsulada, possibilitando que um invasor remoto contorne a verificação de assinatura e acesse informações protegidas. Todos os usuários do PySAML2 que precisam validar documentos SAML assinados são afetados.
Recomendações
Para versões do PySAML2 anteriores à 6.5.0, atualize para a versão 6.5.0 do PySAML2 para resolver o problema. Como solução alternativa temporária, considere desativar o uso de documentos SAML assinados até que a atualização seja possível. Restrinja o acesso a informações confidenciais que dependam da autenticação SAML para minimizar o risco de exploração.
Correção
Improper Verification of Cryptographic Signature
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Alt Linux
Pysaml2
Red Os