Page 3 of 20 results (0.004 seconds)

CVSS: 5.9EPSS: 0%CPEs: 12EXPL: 0

The aesEncrypt method in lib/SimpleSAML/Utils/Crypto.php in SimpleSAMLphp 1.14.x through 1.14.11 makes it easier for context-dependent attackers to bypass the encryption protection mechanism by leveraging use of the first 16 bytes of the secret key as the initialization vector (IV). El método aesEncrypt en lib/SimpleSAML/Utils/Crypto.php en SimpleSAMLphp 1.14.x hasta la versión 1.14.11 facilita que los atacantes dependientes del contexto omitan el mecanismo de de protección de cifrado aprovechando el uso de los primeros 16 bytes de la clave secreta como vector de inicialización (IV). • https://github.com/simplesamlphp/simplesamlphp/commit/77df6a932d46daa35e364925eb73a175010dc904 https://simplesamlphp.org/security/201703-02 • CWE-326: Inadequate Encryption Strength •

CVSS: 5.9EPSS: 0%CPEs: 3EXPL: 0

The (1) Htpasswd authentication source in the authcrypt module and (2) SimpleSAML_Session class in SimpleSAMLphp 1.14.11 and earlier allow remote attackers to conduct timing side-channel attacks by leveraging use of the standard comparison operator to compare secret material against user input. El origen de autenticación (1) Htpasswd en el módulo authcrypt y (2) la clase SimpleSAML_Session en SimpleSAMLphp 1.14.11 y anteriores permite que atacantes remotos lleven a cabo ataques de intervalos de canal lateral aprovechando el uso del operador de comparación estándar para comparar el material secreto con las entradas del usuario. • https://lists.debian.org/debian-lts-announce/2017/12/msg00007.html https://lists.debian.org/debian-lts-announce/2018/06/msg00017.html https://simplesamlphp.org/security/201703-01 • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor •

CVSS: 9.8EPSS: 0%CPEs: 4EXPL: 0

SimpleSAMLphp 1.7.0 through 1.14.10 might allow attackers to obtain sensitive information, gain unauthorized access, or have unspecified other impacts by leveraging incorrect persistent NameID generation when an Identity Provider (IdP) is misconfigured. SimpleSAMLphp 1.7.0 hasta la versión 1.14.10 permite que los atacantes obtengan información sensible, consigan acceso sin autorización o provoquen cualquier otro impacto sin especificar aprovechando la incorrecta generación persistente de NameID cuando no se configura correctamente un Identity Provider (IdP). • https://github.com/simplesamlphp/simplesamlphp/commit/90dca835158495b173808273e7df127303b8b953 https://lists.debian.org/debian-lts-announce/2017/12/msg00007.html https://simplesamlphp.org/security/201612-04 https://www.debian.org/security/2018/dsa-4127 • CWE-384: Session Fixation •

CVSS: 7.5EPSS: 0%CPEs: 4EXPL: 0

The multiauth module in SimpleSAMLphp 1.14.13 and earlier allows remote attackers to bypass authentication context restrictions and use an authentication source defined in config/authsources.php via vectors related to improper validation of user input. El módulo multiauth en SimpleSAMLphp 1.14.13 y anteriores permite que atacantes remotos omitan las restricciones de contexto de autenticación y empleen un origen de autenticación definido en config/authsources.php mediante vectores relacionados en la validación incorrecta de las entradas de usuario. • https://lists.debian.org/debian-lts-announce/2017/12/msg00007.html https://simplesamlphp.org/security/201704-02 https://www.debian.org/security/2018/dsa-4127 • CWE-20: Improper Input Validation •

CVSS: 9.8EPSS: 0%CPEs: 2EXPL: 0

The secureCompare method in lib/SimpleSAML/Utils/Crypto.php in SimpleSAMLphp 1.14.13 and earlier, when used with PHP before 5.6, allows attackers to conduct session fixation attacks or possibly bypass authentication by leveraging missing character conversions before an XOR operation. El método secureCompare en lib/SimpleSAML/Utils/Crypto.php en SimpleSAMLphp 1.14.13 y anteriores, al usarse con PHP en versiones anteriores a la 5.6, permite que los atacantes lleven a cabo ataques de fijación de sesión o que, posiblemente, omitan la autenticación aprovechando las conversiones de caracteres que faltan antes de una operación XOR. • https://github.com/simplesamlphp/simplesamlphp/commit/4bc629658e7b7d17c9ac3fe0da7dc5df71f1b85e https://lists.debian.org/debian-lts-announce/2017/12/msg00007.html https://lists.debian.org/debian-lts-announce/2018/06/msg00017.html https://simplesamlphp.org/security/201705-01 • CWE-384: Session Fixation •