漏洞标题
N/A
漏洞描述信息
在 Shibboleth Identity Provider 2.4.4 之前和 OpenSAML Java (OpenSAML-J) 2.6.5 之前, Shibboleth Identity Provider 中的 PKIX 信任引擎在 entityID 没有可用的信任名称时,信任候选的 X.509 身份凭据。这允许远程攻击者通过由 shibmd:KeyAuthority 信任根节点发布的证书来模拟实体。
CVSS信息
CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:N
漏洞类别
N/A
漏洞标题
N/A
漏洞描述信息
The PKIX trust engines in Shibboleth Identity Provider before 2.4.4 and OpenSAML Java (OpenSAML-J) before 2.6.5 trust candidate X.509 credentials when no trusted names are available for the entityID, which allows remote attackers to impersonate an entity via a certificate issued by a shibmd:KeyAuthority trust anchor.
CVSS信息
N/A
漏洞类别
N/A
漏洞标题
Shibboleth Identity Provider和OpenSAML Java 安全漏洞
漏洞描述信息
Shibboleth是英国Shibboleth公司的一套开源的基于SAML协议的Web单点登录系统。Shibboleth Identity Provider(IdP)是其中的一个身份提供者。OpenSAML Java(OpenSAML-J)是一个使用Java语言编写的开源且用于实现SAML(Security Assertion Markup Language,安全断言标记语言)的库。 Shibboleth IdP 2.4.4之前版本和OpenSAML-J 2.6.5之前版本的PKIX Trust组件中存在
CVSS信息
N/A
漏洞类别
授权问题