CVE-2026-49284 in SimpleSAMLphp
الملخص
بحسب VulDB • 17/07/2026
تحتوي إصدارات SimpleSAMLphp السابقة للإصدار 1.18.6 على ثغرة كشف معلومات. قبل الإصدارات 2.4.7 و 2.5.2، لا يفرض مسار SAML SP ACS في SimpleSAMLphp هوية IdP المحدد لتسجيل الدخول الذي تبدأ به الـ SP (SP-initiated login) عند دمج استجابة غير موقعة (Unsigned Response/InResponseTo) مع تأكيد موقع رقمياً يفتقد إلى بيانات التأكيد الموضوعي/رقم الاستجابة (SubjectConfirmationData/InResponseTo)، مما يسمح بربط استجابة صادرة عن أحد IdPs الموثوقة بحالة الـ SP التي تم إنشاؤها لـ IdP آخر، وتجاوز التدفقات التي توجه المستخدمين إلى IdP محدد، بما في ذلك التوزيعات التي تضبط الخيار enable_unsolicited على false. تمت معالجة هذه المشكلة في الإصدارات 2.4.7 و 2.5.2.
If you want to get best quality of vulnerability data, you may have to visit VulDB.