Vigil@nce - Ping Identity PingFederate : redirection de startSSO.ping
décembre 2014 par Vigil@nce
Ce bulletin a été rédigé par Vigil@nce : http://vigilance.fr/offre
SYNTHÈSE DE LA VULNÉRABILITÉ
Un attaquant peut tromper l’utilisateur de Ping Identity
PingFederate, afin de le rediriger vers un site illicite.
Produits concernés : PingFederate
Gravité : 1/4
Date création : 10/12/2014
DESCRIPTION DE LA VULNÉRABILITÉ
Le produit Ping Identity PingFederate dispose d’un service web.
Cependant, la page /startSSO.ping accepte de rediriger la victime
sans la prévenir, vers un site externe indiqué par l’attaquant
dans le paramètre TargetResource.
Un attaquant peut donc tromper l’utilisateur de Ping Identity
PingFederate, afin de le rediriger vers un site illicite.
ACCÈS AU BULLETIN VIGIL@NCE COMPLET
http://vigilance.fr/vulnerabilite/Ping-Identity-PingFederate-redirection-de-startSSO-ping-15770