Vulnerabilidad en la creación de objetos en la sesión del contenedor Java Servlet en Shibboleth Identify Provider (CVE-2020-27978)
Gravedad CVSS v3.1:
ALTA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
28/10/2020
Última modificación:
08/02/2022
Descripción
Shibboleth Identify Provider versiones 3.x anteriores a 3.4.6, presenta un fallo de denegación de servicio. Un atacante remoto no autenticado puede causar un flujo de inicio de sesión para desencadenar un agotamiento de la pila de Java debido a la creación de objetos en la sesión del contenedor Java Servlet
Impacto
Puntuación base 3.x
7.50
Gravedad 3.x
ALTA
Puntuación base 2.0
5.00
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
CPE | Desde | Hasta |
---|---|---|
cpe:2.3:a:shibboleth:identity_provider:*:*:*:*:*:*:*:* | 3.0.0 (incluyendo) | 3.4.6 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página