CVSS: 8.1EPSS: 0%CPEs: 1EXPL: 0CVE-2022-23724 – PingID Integration for Windows Login MFA Bypass
https://notcve.org/view.php?id=CVE-2022-23724
04 May 2022 — Use of static encryption key material allows forging an authentication token to other users within a tenant organization. MFA may be bypassed by redirecting an authentication flow to a target user. To exploit the vulnerability, must have compromised user credentials. Un uso de material de clave de encriptación estática permite falsificar un token de autenticación a otros usuarios dentro de una organización inquilina. MFA puede ser evitado redirigiendo un flujo de autenticación a un usuario objetivo. • https://docs.pingidentity.com/bundle/pingid/page/xqz1597139945488.html • CWE-288: Authentication Bypass Using an Alternate Path or Channel CWE-310: Cryptographic Issues CWE-798: Use of Hard-coded Credentials •
CVSS: 7.7EPSS: 0%CPEs: 5EXPL: 0CVE-2022-23723 – PingFederate PingOneMFA Integration Kit MFA Bypass
https://notcve.org/view.php?id=CVE-2022-23723
02 May 2022 — An MFA bypass vulnerability exists in the PingFederate PingOne MFA Integration Kit when adapter HTML templates are used as part of an authentication flow. Se presenta una vulnerabilidad de omisión de MFA en el kit de integración de PingFederate PingOne MFA cuando son usadas plantillas HTML de adaptador como parte de un flujo de autenticación • https://docs.pingidentity.com/bundle/pingfederate-pingone-mfa-ik/page/wpt1599064234202.html • CWE-287: Improper Authentication CWE-288: Authentication Bypass Using an Alternate Path or Channel •
CVSS: 6.5EPSS: 0%CPEs: 7EXPL: 0CVE-2022-23722 – PingFederate Password Reset via Authentication API Mishandling
https://notcve.org/view.php?id=CVE-2022-23722
02 May 2022 — When a password reset mechanism is configured to use the Authentication API with an Authentication Policy, email One-Time Password, PingID or SMS authentication, an existing user can reset another existing user’s password. Cuando un mecanismo de restablecimiento de contraseña está configurado para usar la API de Autenticación con una Política de Autenticación, una Contraseña de Una sola vez por correo electrónico, PingID o autenticación por SMS, un usuario existente puede restablecer la contraseña de otro u... • https://docs.pingidentity.com/bundle/pingfederate-110/page/spk1642790928508.html • CWE-287: Improper Authentication CWE-288: Authentication Bypass Using an Alternate Path or Channel •
CVSS: 9.9EPSS: 0%CPEs: 2EXPL: 0CVE-2021-42001 – PingID Desktop encryption libraries misconfiguration can lead to sensitive data exposure
https://notcve.org/view.php?id=CVE-2021-42001
30 Apr 2022 — PingID Desktop prior to 1.7.3 has a misconfiguration in the encryption libraries which can lead to sensitive data exposure. An attacker capable of exploiting this vulnerability may be able to successfully complete an MFA challenge via OTP. PingID Desktop versiones anteriores a 1.7.3, presenta una configuración errónea en las bibliotecas de cifrado que puede conllevar a una exposición de datos confidenciales. Un atacante capaz de explotar esta vulnerabilidad puede ser capaz de completar con éxito un desafío ... • https://docs.pingidentity.com/bundle/pingid/page/dyt1645545885978.html • CWE-310: Cryptographic Issues •
CVSS: 6.6EPSS: 0%CPEs: 2EXPL: 0CVE-2021-41994 – PingID iOS mobile application prior to 1.19 vulnerable to pre-computed dictionary attacks
https://notcve.org/view.php?id=CVE-2021-41994
30 Apr 2022 — A misconfiguration of RSA in PingID iOS app prior to 1.19 is vulnerable to pre-computed dictionary attacks, leading to an offline MFA bypass when using PingID Windows Login. Una configuración errónea de RSA en la aplicación PingID para iOS versiones anteriores a 1.19, es vulnerable a ataques de diccionario precalculado, conllevando a una omisión de MFA sin conexión cuando es usado PingID Windows Login • https://docs.pingidentity.com/bundle/pingid/page/ejd1642076304199.html • CWE-310: Cryptographic Issues CWE-330: Use of Insufficiently Random Values •
CVSS: 6.6EPSS: 0%CPEs: 2EXPL: 0CVE-2021-41993 – PingID Android mobile application prior to 1.19 vulnerable to pre-computed dictionary attacks
https://notcve.org/view.php?id=CVE-2021-41993
30 Apr 2022 — A misconfiguration of RSA in PingID Android app prior to 1.19 is vulnerable to pre-computed dictionary attacks, leading to an offline MFA bypass when using PingID Windows Login. Una configuración errónea de RSA en la aplicación PingID para Android versiones anteriores a 1.19, es vulnerable a ataques de diccionario precalculado, conllevando a una omisión de MFA sin conexión cuando es usado PingID Windows Login • https://docs.pingidentity.com/bundle/pingid/page/zvy1641459415679.html • CWE-310: Cryptographic Issues CWE-330: Use of Insufficiently Random Values •
CVSS: 7.7EPSS: 0%CPEs: 1EXPL: 0CVE-2021-41992 – PingID Windows Login RSA cryptographic weakness with possible offline MFA bypass
https://notcve.org/view.php?id=CVE-2021-41992
30 Apr 2022 — A misconfiguration of RSA in PingID Windows Login prior to 2.7 is vulnerable to pre-computed dictionary attacks, leading to an offline MFA bypass. Una configuración errónea de RSA en PingID Windows Login versiones anteriores a 2.7, es vulnerable a ataques de diccionario precalculado, conllevando a una omisión de MFA sin conexión • https://docs.pingidentity.com/bundle/pingid/page/klc1641469599716.html • CWE-287: Improper Authentication CWE-288: Authentication Bypass Using an Alternate Path or Channel CWE-310: Cryptographic Issues •
CVSS: 6.5EPSS: 0%CPEs: 7EXPL: 0CVE-2021-42000 – Ping Identity PingFederate Password Reset and Password Change Mishandling with an authentication policy in parallel reset flows
https://notcve.org/view.php?id=CVE-2021-42000
10 Feb 2022 — When a password reset or password change flow with an authentication policy is configured and the adapter in the reset or change policy supports multiple parallel reset flows, an existing user can reset another existing users password. Cuando es configurado un flujo de restablecimiento o cambio de contraseña con una política de autenticación y el adaptador de la política de restablecimiento o cambio admite varios flujos de restablecimiento paralelos, un usuario existente puede restablecer la contraseña de o... • https://docs.pingidentity.com/bundle/pingfederate-103/page/hhm1634833631515.html • CWE-285: Improper Authorization •
CVSS: 7.5EPSS: 0%CPEs: 1EXPL: 0CVE-2021-41770
https://notcve.org/view.php?id=CVE-2021-41770
07 Oct 2021 — Ping Identity PingFederate before 10.3.1 mishandles pre-parsing validation, leading to an XXE attack that can achieve XML file disclosure. Ping Identity PingFederate versiones anteriores a 10.3.1, maneja inapropiadamente la comprobación de preanálisis, conllevando a un ataque de tipo XXE que puede lograr una divulgación de archivos XML • https://docs.pingidentity.com/bundle/pingfederate-103/page/ruz1628492711606.html • CWE-611: Improper Restriction of XML External Entity Reference •
CVSS: 9.8EPSS: 0%CPEs: 1EXPL: 0CVE-2021-40329
https://notcve.org/view.php?id=CVE-2021-40329
27 Sep 2021 — The Authentication API in Ping Identity PingFederate before 10.3 mishandles certain aspects of external password management. La API de autenticación en Ping Identity PingFederate versiones anteriores a 10.3, maneja inapropiadamente determinados aspectos de la administración de contraseñas externas • https://docs.pingidentity.com/bundle/pingfederate-103/page/cou1615333347158.html •