CVE-2022-23505 : Mise à jour de la sécurité pour la bibliothèque passport-wsfed-saml2

Date de publication : 12 décembre 2022

Numéro CVE : CVE-2022-23505

Un attaquant distant peut contourner l’authentification WSFed sur un site Web en utilisant passeport-wsfed-saml2. Une attaque réussie nécessite que l’attaquant soit en possession d’une assertion WSFed signée par un fournisseur d’identité arbitraire. Selon le fournisseur d’identité utilisé, des attaques entièrement non authentifiées (par exemple sans accès à un utilisateur valide) peuvent également être réalisables si la génération d’un message signé peut être déclenchée.

Vous êtes concerné si vous utilisez le protocole WSFed avec passport-wsfed-saml2 versions de la bibliothèque <4.6.3.

Le protocole SAML2 n’est pas affecté.

Mise à jour vers la version >= 4.6.3.

La correction fournie dans le correctif n’affectera pas vos utilisateurs.