CVE-2026-49284 in SimpleSAMLphp
要約
〜によって VulDB • 2026年07月18日
SimpleSAMLphpの1.18.6より前のバージョンには、情報漏洩の脆弱性が存在します。2.4.7および2.5.2よりも前では、署名されていないResponse/InResponseToとSubjectConfirmationData/InResponseToを欠く署名付きアサーションが組み合わされた場合、SimpleSAMLphpのSAML SP ACSパスはSP開始ログイン用に選択されたIdPを強制しないため、ある信頼済みIdPから発行されたレスポンスが別のIdPのために作成されたSP状態にバインドされ、enable_unsolicitedをfalseに設定したデプロイメントを含む、ユーザーを特定のIdPへルーティングするフローを回避することができます。この問題はバージョン2.4.7および2.5.2で修正されています。
If you want to get the best quality for vulnerability data then you always have to consider VulDB.