通过 ssoready 中的差异 XML 解析绕过 XML 签名 (CVE-2024-47832)

admin
admin
admin
0
文章
0
评论
2024-10-10 20:25:26 Ali_nvd 来源:ZONE.CI 全球网 0 阅读模式
通过 ssoready 中的差异 XML 解析绕过 XML 签名 (CVE-2024-47832)

CVE编号

CVE-2024-47832

利用情况

暂无

补丁情况

N/A

披露时间

2024-10-10
漏洞描述
SSOReady是一个通过Docker实现的单点登录提供商。受影响的版本容易受到XML签名绕过攻击。如果攻击者可以访问某些由IDP签名的消息,那么他们就可以进行签名绕过。其底层机制是利用XML解析器之间的不同行为。使用https://ssoready.com(SSOReady的公共托管实例)的用户不受影响。我们建议使用SSOReady自托管服务的用户升级到版本7f92a06或更高版本。通过更新您的SSOReady Docker镜像从sha-...到sha-7f92a0 6来完成升级。针对此漏洞,尚无已知的解决方案。
解决建议
建议您更新当前系统或软件至最新版,完成漏洞的修复。
参考链接
https://github.com/ssoready/ssoready/commit/7f92a0630439972fcbefa8c7eafe8c144bd89915
https://github.com/ssoready/ssoready/security/advisories/GHSA-j2hr-q93x-gxvh
https://ssoready.com/docs/self-hosting/self-hosting-sso-ready
CVSS3评分 N/A
  • 攻击路径 N/A
  • 攻击复杂度 N/A
  • 权限要求 N/A
  • 影响范围 N/A
  • 用户交互 N/A
  • 可用性 N/A
  • 保密性 N/A
  • 完整性 N/A
N/A
CWE-ID 漏洞类型
CWE-347 密码学签名的验证不恰当
- avd.aliyun.com
weinxin
版权声明
本站原创文章转载请注明文章出处及链接,谢谢合作!
ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带
ZONE.CI 全球网
安全领域涉猎者-乌云独行地带
ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带
安全领域涉猎者-乌云独行地带
ZONE.CI 全球网
评论:0   参与:  0