Vulnerabilidad en validación de documento SAML con un esquema XML en la firma criptográfica en PySAML2 (CVE-2021-21238)

Gravedad CVSS v3.1:

MEDIA

Tipo:

No Disponible / Otro tipo

Fecha de publicación:

21/01/2021

Última modificación:

29/01/2021

Descripción

PySAML2 es una implementación de Python pura de SAML Versión 2 Estándar. PySAML2 versiones anteriores a 6.5.0, presenta una verificación inapropiada de una vulnerabilidad de firma criptográfica. Todos los usuarios de pysaml2 que necesitan comprobar documentos SAML firmados están afectados. La vulnerabilidad es una variante del empaquetado de firma XML porque no validó el documento SAML con un esquema XML. Esto permitió que documentos XML sean procesados no válidos y dicho documento puede engañar a pysaml2 con una firma empaquetada. Esto es corregido en PySAML2 versión 6.5.0

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:H/A:N CVSS v3.1 Severidad y Métricas:

Puntuación base: 6.50 MEDIA
Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:H/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Obligatorio
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Ninguno
Impacto a la integridad (I): Alto
Impacto a la disponibilidad (A): Ninguno

Puntuación base 3.x

6.50

Gravedad 3.x

MEDIA

Vector 2.0

AV:N/AC:M/Au:N/C:N/I:P/A:N CVSS v2.0 Severidad y Métricas:

Puntuación base: 4.30 MEDIA
Vector: AV:N/AC:M/Au:N/C:N/I:P/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Medio
Autenticación (Au): Ninguno
Impacto a la confidencialidad (C): Ninguno
Impacto a la integridad (I): Físico
Impacto a la disponibilidad (A): Ninguno