Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en la creación de objetos en la sesión del contenedor Java Servlet en Shibboleth Identify Provider (CVE-2020-27978)

Gravedad CVSS v3.1:
ALTA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
28/10/2020
Última modificación:
08/02/2022

Descripción

Shibboleth Identify Provider versiones 3.x anteriores a 3.4.6, presenta un fallo de denegación de servicio. Un atacante remoto no autenticado puede causar un flujo de inicio de sesión para desencadenar un agotamiento de la pila de Java debido a la creación de objetos en la sesión del contenedor Java Servlet

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:shibboleth:identity_provider:*:*:*:*:*:*:*:* 3.0.0 (incluyendo) 3.4.6 (excluyendo)


Referencias a soluciones, herramientas e información