CVE-2022-23505：passport-wsfed-saml2ライブラリーのセキュリティ更新

公開日：2022年12月12日

CVE番号：CVE-2022-23505

攻撃者はリモートで、passport-wsfed-saml2を使用しているWebサイトのWSFed認証をバイパスすることができます。攻撃が成功するには、攻撃者が任意のIDPに署名されたWSFedアサーションを持っていなければなりません。使用しているIDPによっては、署名済みメッセージの生成がトリガーされ得るのであれば、完全に認証されていない攻撃（正しいユーザーにアクセスしないなど）も可能な場合があります。

WSFedプロトコルが使用しているpassport-wsfed-saml2ライブラリーのバージョンが4.6.3よりも古い場合には影響を受けます。

SAML2プロトコルには影響しません。

バージョン4.6.3以降にアップグレードしてください。

パッチで提供される修正はユーザーには影響しません。