Pingid Integration For Windows Login
Уязвимости
9
Эксплуатируемые
0
Макс. CVSS
8.2
Макс. EPSS
0.01586
Распределение по критичности
Критический
0
Высокий
4
Средний
4
Низкий
1
Затронутые диапазоны версий
< 2.4.2< 2.7< 2.8< 2.9
Также сопоставлено как (исходные строки): pingid_integration_for_windows_login
Топ уязвимостей
CVE-2022-23720PingID Windows Login до версии 2.8 не предупреждает и не останавливает работу, если он был подготовлен с полным файлом свойств PingID с разрешениями. ИТ-администратор может ошибочно развернуть учетные данные API PingID с привилегиями администратора, такие как те, которые обычно используются PingFederate, в конечные точки пользователя PingID Windows Login. Использование конфиденциального файла свойств с полными разрешениями вне доверенной границы с привилегиями приводит к повышенному риску раскрытия или обнаружения, и злоумышленник может использовать эти учетные данные для выполнения административных действий против API или конечных точек PingID.
CVE-2022-23724Использование статического материала ключа шифрования позволяет подделывать токен аутентификации для других пользователей в рамках организации арендатора. MFA может быть обойден путем перенаправления потока аутентификации на целевого пользователя. Для использования уязвимости необходимо скомпрометировать учетные данные пользователя.
CVE-2022-23718PingID Windows Login до версии 2.8 использует известные уязвимые компоненты, которые могут привести к удаленному выполнению кода. Злоумышленник, способный занять сложную позицию «человек посередине» или скомпрометировать веб-серверы Ping Identity, может доставить вредоносный код, который будет выполнен как SYSTEM приложением PingID Windows Login.
CVE-2020-25826PingID Integration для Windows Login до версии 2.4.2 позволяет локальным пользователям получать привилегии, изменяя CefSharp.BrowserSubprocess.exe.
CVE-2022-23719PingID Windows Login до версии 2.8 не аутентифицирует связь с локальной службой Java, используемой для захвата запросов ключей безопасности. Злоумышленник, имеющий возможность выполнять код на целевой машине, может использовать и подделать локальную службу Java, используя несколько векторов атаки. Успешная атака может привести к выполнению кода как SYSTEM приложением PingID Windows Login или даже к отказу в обслуживании для автономной аутентификации ключей безопасности.
CVE-2021-41992Неправильная конфигурация RSA в PingID Windows Login до версии 2.7 уязвима для атак с использованием предварительно вычисленных словарей, что приводит к обходу MFA в автономном режиме.
CVE-2022-23725PingID Windows Login до версии 2.8 неправильно устанавливает разрешения для записей реестра Windows, используемых для хранения конфиденциальных ключей API при некоторых обстоятельствах.
CVE-2022-23717PingID Windows Login до версии 2.8 уязвим к условию отказа в обслуживании на локальных машинах при использовании автономных ключей безопасности в рамках аутентификации.
CVE-2022-23721Интеграция PingID для входа в Windows до версии 2.9 не обрабатывает дублирующиеся имена пользователей, что может привести к конфликту имен пользователей, когда два человека с одинаковым именем пользователя подготовлены на одну и ту же машину в разное время.