One Article Review
| Source |  CVE Liste |
|---|---|
| Identifiant | 8359370 |
| Date de publication | 2023-07-20 17:15:10 (vue: 2023-07-20 19:06:52) |
| Titre | CVE-2023-37471 |
| Texte | Open Access Management (OpenAM) est une solution de gestion d'accès qui comprend l'authentification, SSO, l'autorisation, la fédération, les droits et la sécurité des services Web.OpenAM jusqu'à la version 14.7.2 ne valide pas correctement la signature des réponses SAML reçues dans le cadre du processus de connexion unique SAMLV1.x.Les attaquants peuvent utiliser ce fait pour usurper l'identité de tout utilisateur d'OpenAM, y compris l'administrateur, en envoyant une réponse SAML spécialement conçue au servlet SamlPostProfileservlet.Ce problème a été corrigé dans OpenAM 14.7.3-Snapshot et plus tard.L'utilisateur incapable de mettre à niveau doit commenter le servlet `samlpostprofileservlet` à partir de son fichier pom.Voir le GHSA lié pour plus de détails.
Open Access Management (OpenAM) is an access management solution that includes Authentication, SSO, Authorization, Federation, Entitlements and Web Services Security. OpenAM up to version 14.7.2 does not properly validate the signature of SAML responses received as part of the SAMLv1.x Single Sign-On process. Attackers can use this fact to impersonate any OpenAM user, including the administrator, by sending a specially crafted SAML response to the SAMLPOSTProfileServlet servlet. This problem has been patched in OpenAM 14.7.3-SNAPSHOT and later. User unable to upgrade should comment servlet `SAMLPOSTProfileServlet` from their pom file. See the linked GHSA for details. |
| Envoyé | Oui |
| Condensat | 2023 37471 `samlpostprofileservlet` access administrator any attackers authentication authorization been can comment crafted cve details does entitlements fact federation file from ghsa has impersonate includes including later linked management not open openam part patched pom problem process properly received response responses saml samlpostprofileservlet samlv1 security see sending services servlet should sign signature single snapshot solution specially sso unable upgrade use user validate version web |
| Tags | |
| Stories | |
| Notes | |
| Move | 
|
L'article ne semble pas avoir été repris aprés sa publication.
L'article ne semble pas avoir été repris sur un précédent.