Vigil@nce - PySAML2 : usurpation via XML Signature Wrapping
mars 2020 par Vigil@nce
Ce bulletin a été rédigé par Vigil@nce : https://vigilance.fr/?langue=1
SYNTHÈSE DE LA VULNÉRABILITÉ
Un attaquant peut créer des données usurpées via XML Signature
Wrapping de PySAML2, afin de tromper la victime.
Produits concernés : Debian, Ubuntu.
Gravité : 2/4.
Conséquences : lecture de données, création/modification de
données, effacement de données.
Provenance : serveur internet.
Confiance : confirmé par l’éditeur (5/5).
Date de création : 22/01/2020.
DESCRIPTION DE LA VULNÉRABILITÉ
Le produit PySAML2 signe ses données afin de les authentifier.
Cependant, des données peuvent être modifiées sans changer la
signature.
Un attaquant peut donc créer des données usurpées via XML
Signature Wrapping sur PySAML2, afin de tromper la victime.
ACCÈS AU BULLETIN VIGIL@NCE COMPLET
https://vigilance.fr/vulnerabilite/PySAML2-usurpation-via-XML-Signature-Wrapping-31388