Спуфинг атака в PingFederate

Дата публикации:
26.12.2014
Дата изменения:
26.12.2014
Всего просмотров:
883
Опасность:
Низкая
Наличие исправления:
Да
Количество уязвимостей:
1
CVSSv2 рейтинг:
(AV:N/AC:L/Au:N/C:N/I:N/A:P/E:U/RL:O/RC:C) = Base:5/Temporal:3.7
CVE ID:
CVE-2014-8489
Вектор эксплуатации:
Удаленная
Воздействие:
Спуфинг атака
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
PingFederate 6.x
Уязвимые версии:
PingFederate 6.10.1 возможно другие версии

Описание:

Уязвимость позволяет удаленному пользователю перенаправить другого пользователя.

Уязвимость существует из-за ошибки при обработке параметра "TargetResource" в модуле startSSO.ping. Удаленный пользователь может перенаправить другого пользователя на произвольный web-сайт.


URL производителя: https://www.pingidentity.com/

Решение: Установите последнюю версию с сайта производителя.

Ссылки: https://www.pingidentity.com/en/blog/2014/12/10/response_to_cve-2014-8489_pingfederate_6101_sp_endpoints.html
http://tetraph.com/security/open-redirect/cve-2014-8489-ping-identity-corporation-pingfederate-6-10-1-sp-endpoints-dest-redirect-privilege-escalation-security-vulnerability/