Недостаток был обнаружен в посреднической функции SAML Keycloak. Когда Keycloak настроен как клиент в настройке языка разметки безопасности…
Недостаток был обнаружен в посреднической функции SAML Keycloak. Когда Keycloak настроен как клиент в настройке языка разметки безопасности (SAML), он не может проверить временную метку «Неопервторичной» в «Субсайте»Дата «Неподтверждение». Это позволяет злоумышленнику задерживать истечение срока действия ответов SAML, потенциально продлевая время, в течение которого ответ считается действительным, и приводя к неожиданной продолжительности сеанса или потреблению ресурсов.
Продукт принимает XML из ненадёжного источника, но не проверяет XML на соответствие соответствующей схеме.
https://cwe.mitre.org/data/definitions/112.html →Открыть в коллекции CWE →Приложениям нередко требуется преобразовывать данные из/в формат данных (например, XML и YAML) с использованием анализатора. Злоумышленник может иметь возможность внедрять данные, способные оказывать негативное воздействие на анализатор в процессе обработки. Многие языки форматов данных допускают определение структур, схожих с макросами, способных упрощать создание сложных структур. Вкладывая эти структуры друг в друга и вызывая многократную подстановку данных, злоумышленник может вынудить анализатор потреблять больше ресурсов при обработке, что ведёт к избыточному потреблению памяти и нагрузке на процессор.
https://capec.mitre.org/data/definitions/230.html →Открыть в коллекции CAPEC →Злоумышленник внедряет чрезмерно большие полезные нагрузки сериализованных данных в анализатор в процессе обработки данных для оказания негативного воздействия на анализатор, такого как исчерпание системных ресурсов и выполнение произвольного кода.
https://capec.mitre.org/data/definitions/231.html →Открыть в коллекции CAPEC →