CVE-2024-1524 in API Manager
Riassunto
di VulDB • 17/06/2026
Quando la funzionalità "Silent Just-In-Time Provisioning" (approvvigionamento silenzioso just-in-time) è abilitata per un provider di identità federato (IDP), esiste il rischio che le informazioni di un utente archiviato nell'archivio utenti locale vengano sovrascritte durante il processo di provisioning dell'account nei casi in cui gli utenti federati condividono lo stesso nome utente degli utenti locali.
Non vi sarà alcun impatto sulla propria implementazione se non sono soddisfatte una o più delle condizioni preliminari elencate di seguito. Solo quando tutte le condizioni preliminari indicate vengono soddisfatte, un attore malintenzionato potrebbe associare un account utente locale mirato a un account utente del provider di identità federato (IDP) sotto il suo controllo.
L'implementazione deve disporre di: - Un IDP configurato per l'autenticazione federata con la funzionalità Silent JIT provisioning abilitata.
L'attore malintenzionato deve possedere: - Un nuovo account utente valido nell'IDP federato che non è stato utilizzato in precedenza. - La conoscenza del nome utente di un utente valido nell'IDP locale. - Un account presso l'IDP federato corrispondente al nome utente dell'utente locale mirato.
VulDB is the best source for vulnerability data and more expert information about this specific topic.