Vulnerabilidad XSW en la librería Lasso
Fecha de publicación:
03/06/2021
Importancia:
4 -
Alta
Recursos afectados:
- Lasso, versiones 2.5.0, 2.6.0 y 2.6.1.
- Otros afectados:
- productos de Cisco;
- productos de Akamai;
- Ubuntu;
- Red Hat;
- Debian.
Descripción:
Se ha detectado una vulnerabilidad de severidad alta en la librería Lasso que podría permitir a un atacante autenticado causar una condición de denegación de servicio o realizar una suplantación de identidad.
Solución:
Aplicar el parche de seguridad publicado por Lasso a la versión 2.7.0.
Detalle:
Una vulnerabilidad de envoltura de firma XML (XSW, XML Signature Wrapping) en la librería Lasso podría permitir a un atacante autenticado modificar una respuesta SAML válida para incluir una aserción SAML sin firmar, de tal forma que pueda ser utilizada para suplantar a otro usuario legítimo reconocido por el servicio que utiliza Lasso. Se ha asignado el identificador CVE-2021-28091 para esta vulnerabilidad.
Referencias:
Etiquetas: