Ce bulletin a été rédigé par Vigil@nce : https://vigilance.fr/?langue=1

SYNTHÈSE DE LA VULNÉRABILITÉ

Un attaquant peut créer des données usurpées via XML Signature
Wrapping de PySAML2, afin de tromper la victime.

Produits concernés : Debian, Ubuntu.

Gravité : 2/4.

Conséquences : lecture de données, création/modification de
données, effacement de données.

Provenance : serveur internet.

Confiance : confirmé par l’éditeur (5/5).

Date de création : 22/01/2020.

DESCRIPTION DE LA VULNÉRABILITÉ

Le produit PySAML2 signe ses données afin de les authentifier.

Cependant, des données peuvent être modifiées sans changer la
signature.

Un attaquant peut donc créer des données usurpées via XML
Signature Wrapping sur PySAML2, afin de tromper la victime.

ACCÈS AU BULLETIN VIGIL@NCE COMPLET

https://vigilance.fr/vulnerabilite/PySAML2-usurpation-via-XML-Signature-Wrapping-31388