Pysaml2
Уязвимости
7
Эксплуатируемые
0
Макс. CVSS
7.5
Макс. EPSS
0.0386
Распределение по критичности
Критический
0
Высокий
2
Средний
5
Низкий
0
Затронутые диапазоны версий
< 4.6.0< 5.0.0< 6.5.0≤ 4.4.0
Также сопоставлено как (исходные строки): pysaml2
Топ уязвимостей
CVE-2020-5390PySAML2 до версии 5.0.0 не проверяет, что подпись в документе SAML заключена, и, таким образом, обертывание подписи эффективно, то есть подвержено обертыванию XML-подписи (XSW). Информация о подписи и узел/объект, который подписан, могут находиться в разных местах, и, таким образом, проверка подписи пройдет успешно, но будут использоваться неверные данные. Это особенно влияет на проверку утверждения, которое было подписано.
CVE-2016-10127PySAML2 позволяет удаленным злоумышленникам проводить атаки XML external entity (XXE) через специально созданный SAML XML-запрос или ответ.
CVE-2021-21239PySAML2 - это реализация SAML версии 2 Standard на чистом python. PySAML2 до версии 6.5.0 имеет неправильную проверку уязвимости криптографической подписи. Это затрагивает пользователей pysaml2, которые используют серверную часть CryptoBackendXmlSec1 по умолчанию и которым необходимо проверять подписанные документы SAML. PySAML2 не гарантирует правильность подписи подписанного документа SAML. Серверная часть CryptoBackendXmlSec1 по умолчанию использует двоичный файл xmlsec1 для проверки подписи подписанных документов SAML, но по умолчанию xmlsec1 принимает любой тип ключа, найденный в данном документе. xmlsec1 необходимо настроить явным образом, чтобы использовать только _x509 certificates_ для процесса проверки подписи документа SAML. Эта проблема исправлена в PySAML2 6.5.0.
CVE-2021-21238PySAML2 - это реализация SAML версии 2 Standard на чистом Python. PySAML2 до версии 6.5.0 имеет неправильную проверку уязвимости криптографической подписи. Это затрагивает всех пользователей pysaml2, которым необходимо проверять подписанные документы SAML. Уязвимость является вариантом обертывания XML-подписи, поскольку она не проверяла документ SAML на соответствие XML-схеме. Это позволило обрабатывать недействительные XML-документы, и такой документ может обмануть pysaml2 с помощью обернутой подписи. Эта проблема исправлена в PySAML2 6.5.0.
CVE-2017-1000433pysaml2 версии 4.4.0 и более ранние принимают любой пароль при запуске с включенной оптимизацией python. Это позволяет злоумышленникам входить в систему под именем любого пользователя, не зная их пароля.
CVE-2017-1000246Пакет Python pysaml2 версии 4.4.0 и более ранних версий повторно использует вектор инициализации для шифрования на сервере IDP, что приводит к слабому шифрованию данных.
CVE-2016-10149Уязвимость XML External Entity (XXE) в PySAML2 4.4.0 и более ранних версиях позволяет удаленным злоумышленникам читать произвольные файлы через специально созданный SAML XML-запрос или ответ.