crewjam/saml身份验证漏洞

CVE编号

CVE-2020-27846

利用情况

暂无

补丁情况

官方补丁

披露时间

2020-12-22

漏洞描述

A signature verification vulnerability exists in crewjam/saml. This flaw allows an attacker to bypass SAML Authentication. The highest threat from this vulnerability is to confidentiality, integrity, as well as system availability.

解决建议

建议您更新当前系统或软件至最新版，完成漏洞的修复。

参考链接
https://bugzilla.redhat.com/show_bug.cgi?id=1907670
https://github.com/crewjam/saml/security/advisories/GHSA-4hq8-gmxx-h6w9
https://grafana.com/blog/2020/12/17/grafana-6.7.5-7.2.3-and-7.3.6-released-wi...
https://lists.fedoraproject.org/archives/list/[email protected]...
https://lists.fedoraproject.org/archives/list/[email protected]...
https://mattermost.com/blog/coordinated-disclosure-go-xml-vulnerabilities/
https://security.netapp.com/advisory/ntap-20210205-0002/

受影响软件情况

#	类型	厂商	产品	版本	影响面
1
	运行在以下环境
	应用	grafana	grafana	*		Up to (excluding) 6.7.5
	运行在以下环境
	应用	grafana	grafana	*	From (including) 7.0.0	Up to (excluding) 7.2.3
	运行在以下环境
	应用	grafana	grafana	*	From (including) 7.3.0	Up to (excluding) 7.3.6
	运行在以下环境
	应用	redhat	openshift_container_platform	3.11	-
	运行在以下环境
	应用	redhat	openshift_container_platform	4.0	-
	运行在以下环境
	应用	redhat	openshift_service_mesh	2.0	-
	运行在以下环境
	应用	saml_project	saml	*		Up to (excluding) 0.4.3
	运行在以下环境
	系统	centos_8	grafana-debuginfo	*		Up to (excluding) 7.3.6-2.el8
	运行在以下环境
	系统	fedora_32	grafana	*		Up to (excluding) 7.3.6-1.fc32
	运行在以下环境
	系统	fedora_32	grafana-debuginfo	*		Up to (excluding) 7.3.6-1.fc32
	运行在以下环境
	系统	fedora_33	grafana	*		Up to (excluding) 7.3.6-1.fc33
	运行在以下环境
	系统	fedora_33	grafana-debuginfo	*		Up to (excluding) 7.3.6-1.fc33
	运行在以下环境
	系统	oracle_8	grafana-debuginfo	*		Up to (excluding) 7.3.6-2.el8
	运行在以下环境
	系统	redhat_8	grafana-debuginfo	*		Up to (excluding) 7.3.6-2.el8
查看完整数据

阿里云评分 3.1

• 攻击路径 远程
• 攻击复杂度 复杂
• 权限要求 无需权限
• 影响范围 有限影响
• EXP成熟度 未验证
• 补丁情况 官方补丁
• 数据保密性 无影响
• 数据完整性 无影响
• 服务器危害 无影响
• 全网数量 N/A

CWE-ID 漏洞类型 CWE-115 输入的错误解释