CVE-2022-23505: Actualización de seguridad de la biblioteca passport-wsfed-saml2

Publicado: 12 dic 2022 Número de CVE: CVE-2022-23505

Resumen

Un atacante remoto puede eludir la autenticación WSFed en un sitio web que use passport-wsfed-saml2. Para que el ataque tenga éxito, el atacante debe estar en posesión de una aserción WSFed firmada por un arbitrario. Según el IdP utilizado, también podrían ser viables ataques sin autenticación alguna (p. ej., sin acceso a un usuario válido) si se puede desencadenar la generación de un mensaje firmado.

¿Me afecta?

Se ve afectado si usa el protocolo WSFed con versiones de la biblioteca passport-wsfed-saml2 <4.6.3. El protocolo SAML2 no se ve afectado.

¿Cómo solucionarlo?

Actualice a la versión >=4.6.3

¿Afectará esta actualización a mis usuarios?

La corrección incluida en el parche no afectará a sus usuarios.

​Resumen

​¿Me afecta?

​¿Cómo solucionarlo?

​¿Afectará esta actualización a mis usuarios?

Resumen

¿Me afecta?

¿Cómo solucionarlo?

¿Afectará esta actualización a mis usuarios?