PT-2026-55730 · Wso2 · Wso2 Api Manager+3
Publicado
2026-07-04
·
Atualizado
2026-07-04
·
CVE-2024-1248
CVSS v3.1
4.8
Média
| Vetor | AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:L/A:L |
Nome do Software Vulnerável e Versões Afetadas
O nome do produto não pôde ser determinado (versões afetadas não especificadas)
Descrição
O recurso de provisionamento Just-In-Time (JIT) silencioso em implementações de autenticação federada falha ao segregar adequadamente as funções de usuário durante a criação de contas. Quando um usuário federado compartilha um nome de usuário com um usuário local, o processo de provisionamento pode sobrescrever as funções existentes do usuário local com as funções atribuídas ao usuário federado. Isso ocorre quando um provedor de identidade (IDP) federado possui o provisionamento JIT silencioso habilitado e o invasor conhece o nome de usuário de um usuário local. As funções sobrescritas são limitadas àquelas definidas no IDP federado, que normalmente concedem direitos de acesso mínimos, a menos que configurado de outra forma pelo administrador do IDP.
Recomendações
No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Wso2 Api Manager
Wso2 Identity Server
Wso2 Identity Server As Key Manager
Wso2 Open Banking Am