CVE-2024-1524 in API Managerinformazioni

Riassunto

di VulDB • 17/06/2026

Quando la funzionalità "Silent Just-In-Time Provisioning" (approvvigionamento silenzioso just-in-time) è abilitata per un provider di identità federato (IDP), esiste il rischio che le informazioni di un utente archiviato nell'archivio utenti locale vengano sovrascritte durante il processo di provisioning dell'account nei casi in cui gli utenti federati condividono lo stesso nome utente degli utenti locali.

Non vi sarà alcun impatto sulla propria implementazione se non sono soddisfatte una o più delle condizioni preliminari elencate di seguito. Solo quando tutte le condizioni preliminari indicate vengono soddisfatte, un attore malintenzionato potrebbe associare un account utente locale mirato a un account utente del provider di identità federato (IDP) sotto il suo controllo.

L'implementazione deve disporre di: - Un IDP configurato per l'autenticazione federata con la funzionalità Silent JIT provisioning abilitata.

L'attore malintenzionato deve possedere: - Un nuovo account utente valido nell'IDP federato che non è stato utilizzato in precedenza. - La conoscenza del nome utente di un utente valido nell'IDP locale. - Un account presso l'IDP federato corrispondente al nome utente dell'utente locale mirato.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

Responsabile

WSO2

Prenotare

15/02/2024

Divulgazione

24/02/2026

Moderazione

accettato

CPE

pronto

EPSS

0.00261

KEV

no

Attività

molto basso

Fonti

Want to stay up to date on a daily basis?

Enable the mail alert feature now!