Microsoft.IdentityModel.Protocols.SignedHttpRequest remote code execution vulnerability (CVE-2024-21643)
CVE编号
CVE-2024-21643利用情况
暂无补丁情况
N/A披露时间
2024-01-10漏洞描述
IdentityModel Extensions for .NET为希望使用联合身份提供者来建立调用方身份的Web开发人员提供了程序集。任何使用SignedHttpRequest协议或SignedHttpRequestValidator的人都具有漏洞。Microsoft.IdentityModel默认信任SignedHttpRequest协议的jku声明,这给予了进行任何远程或本地HTTP GET请求的可能性。该漏洞已在Microsoft.IdentityModel.Protocols.SignedHttpRequest中修复。用户应将所有Microsoft.IdentityModel版本更新至7.1.2(适用于7.x及更高版本)或6.34.0(适用于6.x及更高版本)。解决建议
建议您更新当前系统或软件至最新版,完成漏洞的修复。- 攻击路径 N/A
- 攻击复杂度 N/A
- 权限要求 N/A
- 影响范围 N/A
- 用户交互 N/A
- 可用性 N/A
- 保密性 N/A
- 完整性 N/A
| CWE-ID | 漏洞类型 |
| CWE-94 | 对生成代码的控制不恰当(代码注入) |
Exp相关链接
版权声明
本站原创文章转载请注明文章出处及链接,谢谢合作!
评论