PT-2024-1246 · Microsoft+6 · Identity+6
Morgan Brown
·
Publicado
2024-01-09
·
Atualizado
2024-12-13
·
CVE-2024-21319
CVSS v3.1
6.8
Média
| Vetor | AV:N/AC:L/PR:H/UI:N/S:C/C:N/I:N/A:H |
Nome do software vulnerável e versões afetadas
Versões do Microsoft Identity anteriores à 5.7.0
Versões do Microsoft Identity anteriores à 6.34.0
Versões do Microsoft Identity anteriores à 7.1.2
Descrição
O problema está relacionado à liberação ou liberação incorreta de recursos na biblioteca do Microsoft Identity para a plataforma .NET. Um invasor poderia explorar essa vulnerabilidade criando um token JSON Web Encryption (JWE) malicioso com uma alta taxa de compactação, levando a uma alocação excessiva de memória e tempo de processamento durante a descompactação, causando uma condição de negação de serviço (DoS). O invasor deve ter acesso à chave de criptografia pública registrada no IDP (Entra ID) para que a exploração seja bem-sucedida.
Recomendações
Para versões anteriores à 5.7.0, atualize para a versão 5.7.0 ou superior.
Para versões anteriores à 6.34.0, atualize para a versão 6.34.0 ou superior.
Para versões anteriores à 7.1.2, atualize para a versão 7.1.2 ou superior.
Correção
DoS
Improper Resource Release
RCE
Resource Exhaustion
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Alt Linux
Almalinux
Centos
Linuxmint
Identity
Red Hat
Ubuntu