CVE-2022-23505 : Mise à jour de la sécurité pour la bibliothèque passport-wsfed-saml2

Présentation
Suis-je concerné?
Comment résoudre ce problème?
Cette mise à jour aura-t-elle un impact sur mes utilisateurs?

Date de publication : 12 décembre 2022 Numéro CVE : CVE-2022-23505

Présentation

Un attaquant distant peut contourner l’authentification WSFed sur un site Web en utilisant passeport-wsfed-saml2. Une attaque réussie nécessite que l’attaquant soit en possession d’une assertion WSFed signée par un fournisseur d’identité arbitraire. Selon le fournisseur d’identité utilisé, des attaques entièrement non authentifiées (par exemple sans accès à un utilisateur valide) peuvent également être réalisables si la génération d’un message signé peut être déclenchée.

Suis-je concerné?

Vous êtes concerné si vous utilisez le protocole WSFed avec passport-wsfed-saml2 versions de la bibliothèque <4.6.3. Le protocole SAML2 n’est pas affecté.

Comment résoudre ce problème?

Mise à jour vers la version >= 4.6.3.

Cette mise à jour aura-t-elle un impact sur mes utilisateurs?

La correction fournie dans le correctif n’affectera pas vos utilisateurs.

CVE-2022-23539, CVE-2022-23541, CVE-2022-23540: Mise à jour de sécurité pour jsonwebtoken

CVE-2022-24794 : Mise à jour de sécurité pour la bibliothèque Express OpenID Connect

Protégez votre Application

Appeler des API au nom de l’utilisateur

Protéger votre tenant

Conformité

CVE-2022-23505 : Mise à jour de la sécurité pour la bibliothèque passport-wsfed-saml2

Présentation

Suis-je concerné?

Comment résoudre ce problème?

Cette mise à jour aura-t-elle un impact sur mes utilisateurs?

Protégez votre Application

Appeler des API au nom de l’utilisateur

Protéger votre tenant

Conformité

​Présentation

​Suis-je concerné?

​Comment résoudre ce problème?

​Cette mise à jour aura-t-elle un impact sur mes utilisateurs?

Présentation

Suis-je concerné?

Comment résoudre ce problème?

Cette mise à jour aura-t-elle un impact sur mes utilisateurs?