Vigil@nce - PicketLink IDP : élévation de privilèges
octobre 2015 par Vigil@nce
Ce bulletin a été rédigé par Vigil@nce : http://vigilance.fr/offre
SYNTHÈSE DE LA VULNÉRABILITÉ
Un attaquant authentifié peut employer PicketLink IDP, afin
d’accéder à des ressources nécessitant normalement de posséder
un rôle particulier.
Produits concernés : RHEL, Red Hat JBoss EAP.
Gravité : 2/4.
Date création : 25/08/2015.
DESCRIPTION DE LA VULNÉRABILITÉ
Le produit PicketLink IDP est un fournisseur d’identité (Identity
Provider).
Il peut être configuré pour que les utilisateurs se connectant
à une ressource aient besoin d’avoir un rôle particulier.
Cependant, ce rôle n’est pas vérifié.
Un attaquant authentifié peut donc employer PicketLink IDP, afin
d’accéder à des ressources nécessitant normalement de posséder
un rôle particulier.
ACCÈS AU BULLETIN VIGIL@NCE COMPLET
http://vigilance.fr/vulnerabilite/PicketLink-IDP-elevation-de-privileges-17741