通过 ssoready 中的差异 XML 解析绕过 XML 签名 (CVE-2024-47832)
CVE编号
CVE-2024-47832利用情况
暂无补丁情况
N/A披露时间
2024-10-10漏洞描述
SSOReady是一个通过Docker实现的单点登录提供商。受影响的版本容易受到XML签名绕过攻击。如果攻击者可以访问某些由IDP签名的消息,那么他们就可以进行签名绕过。其底层机制是利用XML解析器之间的不同行为。使用https://ssoready.com(SSOReady的公共托管实例)的用户不受影响。我们建议使用SSOReady自托管服务的用户升级到版本7f92a06或更高版本。通过更新您的SSOReady Docker镜像从sha-...到sha-7f92a0 6来完成升级。针对此漏洞,尚无已知的解决方案。解决建议
建议您更新当前系统或软件至最新版,完成漏洞的修复。- 攻击路径 N/A
- 攻击复杂度 N/A
- 权限要求 N/A
- 影响范围 N/A
- 用户交互 N/A
- 可用性 N/A
- 保密性 N/A
- 完整性 N/A
CWE-ID | 漏洞类型 |
CWE-347 | 密码学签名的验证不恰当 |
Exp相关链接

版权声明
本站原创文章转载请注明文章出处及链接,谢谢合作!
评论