PT-2024-18262 · Unknown · Armeria-Saml
Lishiki
·
Publicado
2024-02-26
·
Atualizado
2025-03-29
·
CVE-2024-1735
CVSS v3.1
9.1
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N |
Nome do software vulnerável e versões afetadas
Versões do armeria-saml anteriores à 1.27.2
Descrição
Foi identificada uma vulnerabilidade que permite o uso de mensagens SAML maliciosas para contornar a autenticação. A implementação SAML fornecida pelo
armeria-saml atualmente aceita mensagens SAML não assinadas tal como estão, em vez de rejeitá-las por padrão. Como resultado, um invasor pode falsificar uma mensagem SAML para se autenticar, apesar de tal mensagem SAML não assinada dever ser rejeitada.Recomendações
Para versões do armeria-saml anteriores à 1.27.2, atualize para a versão 1.27.2 ou posterior para resolver o problema. Como solução alternativa temporária, considere restringir o uso do
armeria-saml até que um patch seja aplicado. Não há nenhuma solução alternativa conhecida para esta vulnerabilidade.Correção
Improper Authentication
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Armeria-Saml