CVE-2024-1524 in API Manager
要約
〜によって VulDB • 2026年05月27日
フェデレーテッドIDP(IDP)で「サイレントJITプロビジョニング」機能が有効になっている場合、フェデレーテッドユーザーとローカルユーザーが同じユーザー名を共有している場合、アカウントプロビジョニングプロセス中にローカルユーザーストアのユーザー情報が置き換えられるリスクがあります。
以下の前提条件のいずれかが満たされていない場合、デプロイメントに影響はありません。以下の前提条件がすべて満たされた場合にのみ、悪意のある攻撃者は標的となったローカルユーザーアカウントを、自分が制御しているフェデレーテッドIDPユーザーアカウントに関連付けることができます。
デプロイメントには以下が必要です: - サイレントJITプロビジョニングが有効になっているフェデレーテッド認証用に構成されたIDP。
悪意のある攻撃者は以下を持っている必要があります: - 以前に使用されたことのない、フェデレーテッドIDP内の有効な新規ユーザーアカウント。 - ローカルIDPの有効なユーザーのユーザー名に関する知識。 - 標的となったローカルユーザー名と一致するフェデレーテッドIDP内のアカウント。
If you want to get the best quality for vulnerability data then you always have to consider VulDB.