メインコンテンツへスキップ
公開日: 2022年12月12日 CVE番号: CVE-2022-23505

概要

リモートの攻撃者は、passport-wsfed-saml2 を使用している Web サイトで WSFed 認証を回避できるおそれがあります。攻撃を成功させるには、攻撃者が任意の によって署名された WSFed アサーションを所持している必要があります。使用している IDP によっては、署名付きメッセージの生成をトリガーできる場合、まったく認証されていない状態での攻撃 (たとえば、有効なユーザーにアクセスできない場合) も成立する可能性があります。

影響を受けますか?

passport-wsfed-saml2 ライブラリのバージョンが <4.6.3 で、WSFed プロトコルを使用している場合は、影響を受けます。 SAML2 プロトコルは影響を受けません。

どうすれば修正できますか?

バージョン >=4.6.3 にアップグレードしてください。

この更新はユーザーに影響しますか?

このパッチに含まれる修正によるユーザーへの影響はありません。