漏洞标题
身份验证绕过
漏洞描述信息
在1.1.1版本之前的github.com/tyktechnologies/tyk-identity-broker包存在通过Go XML解析器的认证绕过漏洞,这可能导致SAML认证绕过。这是因为在XML来回转换(编码/解码XML数据)时,XML解析器并不保证XML的完整性。
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N
漏洞类别
N/A
漏洞标题
Authentication Bypass
漏洞描述信息
The package github.com/tyktechnologies/tyk-identity-broker before 1.1.1 are vulnerable to Authentication Bypass via the Go XML parser which can cause SAML authentication bypass. This is because the XML parser doesn’t guarantee integrity in the XML round-trip (encoding/decoding XML data).
CVSS信息
CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:L/A:N
漏洞类别
N/A
漏洞标题
tyk-identity-broker 授权问题漏洞
漏洞描述信息
tyk-identity-broker是一个应用软件。提供了一个服务级别组件,该组件使授权的身份能够得到授权,并提供对各种由Tyk支持的组件(如Tyk仪表板,Tyk Developer Portal和Tyk Gateway API流(例如OAuth访问令牌))的身份验证访问。 tyk-identity-broker 1.1.1版本及之前版本存在安全漏洞,该漏洞源于Go XML解析器进行身份验证绕过。
CVSS信息
N/A
漏洞类别
授权问题