Vulnerabilidad en SimpleSAMLphp (CVE-2010-10002)

Gravedad CVSS v3.1:

BAJA

Tipo:

CWE-79 Neutralización incorrecta de la entrada durante la generación de la página web (Cross-site Scripting)

Fecha de publicación:

01/01/2023

Última modificación:

21/11/2024

Descripción

** NO SOPORTADO CUANDO SE ASIGNÓ ** Una vulnerabilidad clasificada como problemática ha sido encontrada en SimpleSAMLphp simplesamlphp-module-openid. Una función desconocida del archivo templates/consumer.php del componente OpenID Handler es afectada por esta vulnerabilidad. La manipulación del argumento AuthState conduce a cross-site scripting. Es posible lanzar el ataque de forma remota. La complejidad de un ataque es bastante alta. Se dice que la explotabilidad es difícil. La actualización a la versión 1.0 puede solucionar este problema. El parche se identifica como d652d41ccaf8c45d5707e741c0c5d82a2365a9a3. Se recomienda actualizar el componente afectado. VDB-217170 es el identificador asignado a esta vulnerabilidad. NOTA: Esta vulnerabilidad solo afecta a productos que ya no son compatibles con el fabricante.

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:U/C:N/I:L/A:N CVSS v3.1 Severidad y Métricas:

Puntuación base: 3.10 BAJA
Vector: CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:U/C:N/I:L/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Alto
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Obligatorio
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Ninguno
Impacto a la integridad (I): Bajo
Impacto a la disponibilidad (A): Ninguno

Puntuación base 3.x

3.10

Gravedad 3.x

BAJA

Vector 2.0

AV:N/AC:H/Au:N/C:N/I:P/A:N CVSS v2.0 Severidad y Métricas:

Puntuación base: 2.60 BAJA
Vector: AV:N/AC:H/Au:N/C:N/I:P/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Alto
Autenticación (Au): Ninguno
Impacto a la confidencialidad (C): Ninguno
Impacto a la integridad (I): Físico
Impacto a la disponibilidad (A): Ninguno