CRITICAL🇬🇧 English

CVE-2024-25718

Samly (Elixir): wygasłe sesje SAML nie są unieważniane — błąd kontroli dostępu

CVSS 9.8v3.1pub. 2024-02-11upd. 2024-11-21

Biblioteka Samly dla języka Elixir przed wersją 1.4.0 nieprawidłowo obsługuje wygasłe sesje SAML, zwracając je zamiast odrzucać. Stanowi to poważne zagrożenie dla kontroli dostępu, ponieważ atakujący może utrzymać dostęp do zasobów pomimo wygaśnięcia jego sesji uwierzytelnienia.

Pokaż oryginał (EN)

In the Samly package before 1.4.0 for Elixir, Samly.State.Store.get_assertion/3 can return an expired session, which interferes with access control because Samly.AuthHandler uses a cached session and does not replace it, even after expiry.

🤖 Analiza AI
Jak działa

Funkcja `Samly.State.Store.get_assertion/3` może zwracać wygasłe obiekty sesji (assertions) zamiast je odrzucać. Moduł `Samly.AuthHandler` korzysta z takiej sesji pobranej z cache i nie weryfikuje jej aktualności — nie zastępuje jej nową, nawet po upłynięciu czasu ważności. W efekcie mechanizm kontroli dostępu oparty na SAML nie wymusza prawidłowego wygasania sesji użytkowników.

Skutki

Atakujący posiadający wygasły token sesji SAML może nadal uzyskiwać nieuprawniony dostęp do chronionych zasobów aplikacji, omijając kontrolę dostępu. Może to prowadzić do ujawnienia poufnych danych, modyfikacji zasobów lub zakłócenia działania systemu.

Mitygacja

Należy zaktualizować pakiet Samly do wersji 1.4.0 lub nowszej, w której poprawiono logikę walidacji wygasłych sesji. Szczegóły zmiany dostępne są w diff pomiędzy wersjami 1.3.0 a 1.4.0 w repozytorium projektu.

Kogo dotyczy

Pakiet Samly dla Elixir w wersjach przed 1.4.0 (Dropbox Samly / handnot2/samly).

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Dropbox Samly

    APP
    Dropbox
    < 1.4.0
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje

Powiązane podatności

CVE-2024-5924HIGH8.8ten sam vendor

Dropbox Desktop Folder Sharing Mark-of-the-Web Bypass Vulnerability. This vulnerability allows remote attacker...

CVE-2022-26181HIGH7.8ten sam vendor

Dropbox Lepton v1.2.1-185-g2a08b77 was discovered to contain a heap-buffer-overflow in the function aligned_de...

CVE-2019-12171HIGH7.8ten sam vendor

Dropbox.exe (and QtWebEngineProcess.exe in the Web Helper) in the Dropbox desktop application 71.4.108.0 store...

CVE-2018-20819HIGH7.8ten sam vendor

io/ZlibCompression.cc in the decompression component in Dropbox Lepton 1.2.1 allows attackers to cause a denia...

CVE-2022-4768MEDIUM6.3ten sam vendor

A vulnerability was found in Dropbox merou. It has been classified as critical. Affected is the function add_p...