CVE-2022-23505: Mise à jour de sécurité de la bibliothèque passport-wsfed-saml2

Publié: 12 déc. 2022 Numéro de CVE: CVE-2022-23505

Aperçu

Un attaquant distant peut contourner l’authentification WSFed sur un site web qui utilise passport-wsfed-saml2. Pour réussir l’attaque, l’attaquant doit être en possession d’une assertion WSFed signée par un , quel qu’il soit. Selon l’IDP utilisé, des attaques sans aucune authentification (p. ex. sans accès à un compte utilisateur valide) peuvent aussi être possibles s’il est possible de déclencher la génération d’un message signé.

Suis-je concerné ?

Vous êtes concerné si vous utilisez le protocole WSFed avec des versions de la bibliothèque passport-wsfed-saml2 inférieures à 4.6.3. Le protocole SAML2 n’est pas concerné.

Comment corriger ce problème?

Passez à la version >=4.6.3

Cette mise à jour aura-t-elle une incidence sur vos utilisateurs ?

Le correctif fourni dans ce patch n’aura pas d’incidence sur vos utilisateurs.

​Aperçu

​Suis-je concerné ?

​Comment corriger ce problème?

​Cette mise à jour aura-t-elle une incidence sur vos utilisateurs ?

Aperçu

Suis-je concerné ?

Comment corriger ce problème?

Cette mise à jour aura-t-elle une incidence sur vos utilisateurs ?