CVE-2026-49284 in SimpleSAMLphpالمعلومات

الملخص

بحسب VulDB • 17/07/2026

تحتوي إصدارات SimpleSAMLphp السابقة للإصدار 1.18.6 على ثغرة كشف معلومات. قبل الإصدارات 2.4.7 و 2.5.2، لا يفرض مسار SAML SP ACS في SimpleSAMLphp هوية IdP المحدد لتسجيل الدخول الذي تبدأ به الـ SP (SP-initiated login) عند دمج استجابة غير موقعة (Unsigned Response/InResponseTo) مع تأكيد موقع رقمياً يفتقد إلى بيانات التأكيد الموضوعي/رقم الاستجابة (SubjectConfirmationData/InResponseTo)، مما يسمح بربط استجابة صادرة عن أحد IdPs الموثوقة بحالة الـ SP التي تم إنشاؤها لـ IdP آخر، وتجاوز التدفقات التي توجه المستخدمين إلى IdP محدد، بما في ذلك التوزيعات التي تضبط الخيار enable_unsolicited على false. تمت معالجة هذه المشكلة في الإصدارات 2.4.7 و 2.5.2.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

مسؤول

GitHub M

حجز

28/05/2026

إفشاء

17/07/2026

الاعتدال

تمت الموافقة

إدخال

VDB-379924

EPSS

0.00000

KEV

لا

النشاطات

منخفض

المصادر

Do you know our Splunk app?

Download it now for free!