Page 3 of 21 results (0.002 seconds)

CVSS: 5.9EPSS: 0%CPEs: 3EXPL: 0

The (1) Htpasswd authentication source in the authcrypt module and (2) SimpleSAML_Session class in SimpleSAMLphp 1.14.11 and earlier allow remote attackers to conduct timing side-channel attacks by leveraging use of the standard comparison operator to compare secret material against user input. El origen de autenticación (1) Htpasswd en el módulo authcrypt y (2) la clase SimpleSAML_Session en SimpleSAMLphp 1.14.11 y anteriores permite que atacantes remotos lleven a cabo ataques de intervalos de canal lateral aprovechando el uso del operador de comparación estándar para comparar el material secreto con las entradas del usuario. • https://lists.debian.org/debian-lts-announce/2017/12/msg00007.html https://lists.debian.org/debian-lts-announce/2018/06/msg00017.html https://simplesamlphp.org/security/201703-01 • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor •

CVSS: 9.8EPSS: 0%CPEs: 4EXPL: 0

SimpleSAMLphp 1.7.0 through 1.14.10 might allow attackers to obtain sensitive information, gain unauthorized access, or have unspecified other impacts by leveraging incorrect persistent NameID generation when an Identity Provider (IdP) is misconfigured. SimpleSAMLphp 1.7.0 hasta la versión 1.14.10 permite que los atacantes obtengan información sensible, consigan acceso sin autorización o provoquen cualquier otro impacto sin especificar aprovechando la incorrecta generación persistente de NameID cuando no se configura correctamente un Identity Provider (IdP). • https://github.com/simplesamlphp/simplesamlphp/commit/90dca835158495b173808273e7df127303b8b953 https://lists.debian.org/debian-lts-announce/2017/12/msg00007.html https://simplesamlphp.org/security/201612-04 https://www.debian.org/security/2018/dsa-4127 • CWE-384: Session Fixation •

CVSS: 7.5EPSS: 0%CPEs: 4EXPL: 0

The multiauth module in SimpleSAMLphp 1.14.13 and earlier allows remote attackers to bypass authentication context restrictions and use an authentication source defined in config/authsources.php via vectors related to improper validation of user input. El módulo multiauth en SimpleSAMLphp 1.14.13 y anteriores permite que atacantes remotos omitan las restricciones de contexto de autenticación y empleen un origen de autenticación definido en config/authsources.php mediante vectores relacionados en la validación incorrecta de las entradas de usuario. • https://lists.debian.org/debian-lts-announce/2017/12/msg00007.html https://simplesamlphp.org/security/201704-02 https://www.debian.org/security/2018/dsa-4127 • CWE-20: Improper Input Validation •

CVSS: 9.8EPSS: 0%CPEs: 2EXPL: 0

The secureCompare method in lib/SimpleSAML/Utils/Crypto.php in SimpleSAMLphp 1.14.13 and earlier, when used with PHP before 5.6, allows attackers to conduct session fixation attacks or possibly bypass authentication by leveraging missing character conversions before an XOR operation. El método secureCompare en lib/SimpleSAML/Utils/Crypto.php en SimpleSAMLphp 1.14.13 y anteriores, al usarse con PHP en versiones anteriores a la 5.6, permite que los atacantes lleven a cabo ataques de fijación de sesión o que, posiblemente, omitan la autenticación aprovechando las conversiones de caracteres que faltan antes de una operación XOR. • https://github.com/simplesamlphp/simplesamlphp/commit/4bc629658e7b7d17c9ac3fe0da7dc5df71f1b85e https://lists.debian.org/debian-lts-announce/2017/12/msg00007.html https://lists.debian.org/debian-lts-announce/2018/06/msg00017.html https://simplesamlphp.org/security/201705-01 • CWE-384: Session Fixation •

CVSS: 5.9EPSS: 0%CPEs: 1EXPL: 0

SimpleSAMLphp 1.14.12 and earlier make it easier for man-in-the-middle attackers to obtain sensitive information by leveraging use of the aesEncrypt and aesDecrypt methods in the SimpleSAML/Utils/Crypto class to protect session identifiers in replies to non-HTTPS service providers. SimpleSAMLphp 1.14.12 y anteriores hace que sea más fácil para atacantes Man-in-the-Middle (MitM) obtener información sensible mediante el aprovechamiento de los métodos aesEncrypt y aesDecrypt en la clase SimpleSAML/Utils/Crypto class para proteger los identificadores de sesión en respuestas a proveedores de servicios no-HTTPS. • https://simplesamlphp.org/security/201704-01 • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor •