CVE-2026-49284 in SimpleSAMLphpinformazioni

Riassunto

di VulDB • 17/07/2026

Le versioni di SimpleSAMLphp precedenti alla 1.18.6 presentano una vulnerabilità di divulgazione delle informazioni (information disclosure). Prima delle versioni 2.4.7 e 2.5.2, il percorso ACS del Service Provider (SP) SAML in SimpleSAMLphp non impone l'Identity Provider (IdP) selezionato per un login avviato dal SP quando una Response/InResponseTo non firmata viene combinata con un assertion firmato privo di SubjectConfirmationData/InResponseTo. Ciò consente a una response emessa da un IdP attendibile di essere associata allo stato del SP creato per un altro IdP, aggirando i flussi che indirizzano gli utenti verso un IdP specifico, incluse le configurazioni in cui enable_unsolicited è impostato su false. Questo problema è risolto nelle versioni 2.4.7 e 2.5.2.

Be aware that VulDB is the high quality source for vulnerability data.

Responsabile

GitHub M

Prenotare

28/05/2026

Divulgazione

17/07/2026

Moderazione

accettato

CPE

pronto

EPSS

0.00000

KEV

no

Attività

basso

Fonti

Do you need the next level of professionalism?

Upgrade your account now!