Vulnerabilidad en WSO2 (CVE-2024-1524)
Gravedad CVSS v3.1:
ALTA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
24/02/2026
Última modificación:
03/03/2026
Descripción
Cuando la característica &#39;Aprovisionamiento Silencioso Justo a Tiempo&#39; está habilitada para un proveedor de identidad federado (IDP), existe un riesgo de que la información de un usuario del almacén de usuarios local pueda ser reemplazada durante el proceso de aprovisionamiento de cuentas en casos donde los usuarios federados comparten el mismo nombre de usuario que los usuarios locales.<br />
<br />
No habrá impacto en su despliegue si alguna de las precondiciones mencionadas a continuación no se cumple. Solo cuando todas las precondiciones mencionadas a continuación se cumplan, podría un actor malicioso asociar una cuenta de usuario local objetivo con una cuenta de usuario de IDP federado que ellos controlan.<br />
<br />
El despliegue debería tener:<br />
-Un IDP configurado para autenticación federada con aprovisionamiento JIT silencioso habilitado.<br />
<br />
El actor malicioso debería tener:<br />
-Una cuenta de usuario válida y nueva en el IDP federado que no haya sido utilizada anteriormente.<br />
-Conocimiento del nombre de usuario de un usuario válido en el IDP local.<br />
-Una cuenta en el IDP federado que coincida con el nombre de usuario local objetivo.
Impacto
Puntuación base 3.x
7.70
Gravedad 3.x
ALTA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:wso2:api_manager:*:*:*:*:*:*:*:* | 4.2.0 (incluyendo) | 4.2.0.108 (excluyendo) |
| cpe:2.3:a:wso2:identity_server:*:*:*:*:*:*:*:* | 6.0.0 (incluyendo) | 6.0.0.171 (excluyendo) |
| cpe:2.3:a:wso2:identity_server:*:*:*:*:*:*:*:* | 6.1.0 (incluyendo) | 6.1.0.128 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página