PT-2026-55730 · Wso2 · Wso2 Api Manager+3

Publicado

2026-07-04

·

Atualizado

2026-07-04

·

CVE-2024-1248

CVSS v3.1

4.8

Média

VetorAV:N/AC:H/PR:N/UI:N/S:U/C:N/I:L/A:L
Nome do Software Vulnerável e Versões Afetadas O nome do produto não pôde ser determinado (versões afetadas não especificadas)
Descrição O recurso de provisionamento Just-In-Time (JIT) silencioso em implementações de autenticação federada falha ao segregar adequadamente as funções de usuário durante a criação de contas. Quando um usuário federado compartilha um nome de usuário com um usuário local, o processo de provisionamento pode sobrescrever as funções existentes do usuário local com as funções atribuídas ao usuário federado. Isso ocorre quando um provedor de identidade (IDP) federado possui o provisionamento JIT silencioso habilitado e o invasor conhece o nome de usuário de um usuário local. As funções sobrescritas são limitadas àquelas definidas no IDP federado, que normalmente concedem direitos de acesso mínimos, a menos que configurado de outra forma pelo administrador do IDP.
Recomendações No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

Enumeração de Fraquezas

Identificadores relacionados

CVE-2024-1248

Produtos afetados

Wso2 Api Manager
Wso2 Identity Server
Wso2 Identity Server As Key Manager
Wso2 Open Banking Am