CVSS: 7.5EPSS: 0%CPEs: 4EXPL: 0CVE-2017-12869
https://notcve.org/view.php?id=CVE-2017-12869
The multiauth module in SimpleSAMLphp 1.14.13 and earlier allows remote attackers to bypass authentication context restrictions and use an authentication source defined in config/authsources.php via vectors related to improper validation of user input. El módulo multiauth en SimpleSAMLphp 1.14.13 y anteriores permite que atacantes remotos omitan las restricciones de contexto de autenticación y empleen un origen de autenticación definido en config/authsources.php mediante vectores relacionados en la validación incorrecta de las entradas de usuario. • https://lists.debian.org/debian-lts-announce/2017/12/msg00007.html https://simplesamlphp.org/security/201704-02 https://www.debian.org/security/2018/dsa-4127 • CWE-20: Improper Input Validation •
CVSS: 5.9EPSS: 0%CPEs: 1EXPL: 0CVE-2017-12867
https://notcve.org/view.php?id=CVE-2017-12867
The SimpleSAML_Auth_TimeLimitedToken class in SimpleSAMLphp 1.14.14 and earlier allows attackers with access to a secret token to extend its validity period by manipulating the prepended time offset. La clase SimpleSAML_Auth_TimeLimitedToken en SimpleSAMLphp 1.14.14 y anteriores permite que atacantes con acceso a un token secreto extiendan su periodo de validez manipulando el offset de tiempo antepuesto. • https://lists.debian.org/debian-lts-announce/2017/12/msg00007.html https://simplesamlphp.org/security/201708-01 https://www.debian.org/security/2018/dsa-4127 • CWE-613: Insufficient Session Expiration •
CVSS: 9.1EPSS: 0%CPEs: 13EXPL: 0CVE-2016-9814
https://notcve.org/view.php?id=CVE-2016-9814
The validateSignature method in the SAML2\Utils class in SimpleSAMLphp before 1.14.10 and simplesamlphp/saml2 library before 1.9.1, 1.10.x before 1.10.3, and 2.x before 2.3.3 allows remote attackers to spoof SAML responses or possibly cause a denial of service (memory consumption) by leveraging improper conversion of return values to boolean. El método validateSignature en la clase SAML2\Utils en SimpleSAMLphp en versiones anteriores a 1.14.10 y la librería simplesamlphp/saml2 en versiones anteriores a 1.9.1, 1.10.x en versiones anteriores a 1.10.3 y 2.x en versiones anteriores a 2.3.3 permite a atacantes remotos suplantar respuestas SAML o posiblemente provocar una denegación de servicio (consumo de memoria) aprovechando la conversión incorrecta de valores de retorno a valores booleanos. • http://www.securityfocus.com/bid/94730 https://lists.debian.org/debian-lts-announce/2018/03/msg00001.html https://simplesamlphp.org/security/201612-01 • CWE-399: Resource Management Errors •
CVSS: 6.3EPSS: 0%CPEs: 2EXPL: 0CVE-2016-9955
https://notcve.org/view.php?id=CVE-2016-9955
The SimpleSAML_XML_Validator class constructor in SimpleSAMLphp before 1.14.11 might allow remote attackers to spoof signatures on SAML 1 responses or possibly cause a denial of service (memory consumption) by leveraging improper conversion of return values to boolean. El constructor de clase SimpleSAML_XML_Validator en SimpleSAMLphp en versiones anteriores a 1.14.11 podría permitir a atacantes remotos suplantar firmas en respuestas SAML 1 o posiblemente provocar una denegación de servicio (consumo de memoria) aprovechando la conversión incorrecta de valores de retorno a valores booleanos. • http://www.securityfocus.com/bid/94946 https://lists.debian.org/debian-lts-announce/2018/03/msg00001.html https://simplesamlphp.org/security/201612-02 • CWE-20: Improper Input Validation •
CVSS: 5.3EPSS: 0%CPEs: 1EXPL: 0CVE-2016-3124
https://notcve.org/view.php?id=CVE-2016-3124
The sanitycheck module in SimpleSAMLphp before 1.14.1 allows remote attackers to learn the PHP version on the system via unspecified vectors. El módulo sanitycheck en SimpleSAMLphp en versiones anteriores a 1.14.1 permite a atacantes remotos aprender la versión de PHP en el sistema a través de vectores no especificados. • http://www.securityfocus.com/bid/96134 https://simplesamlphp.org/security/201603-01 • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor •