CVE-2026-49284 in SimpleSAMLphpИнформация

Сводка

по VulDB • 18.07.2026

В версиях SimpleSAMLphp до 1.18.6 включена уязвимость раскрытия информации. До версий 2.4.7 и 2.5.2 путь SAML SP ACS в SimpleSAMLphp не обеспечивает принудительное использование IdP, выбранного для инициированной SP аутентификации, когда необработанный Response/InResponseTo комбинируется с подписанным утверждением (assertion), лишенным элементов SubjectConfirmationData/InResponseTo. Это позволяет привязать ответ, выданны одним доверенным IdP, к состоянию SP, созданному для другого IdP, и обойти потоки маршрутизации пользователей на конкретный IdP, включая развертывания с параметром enable_unsolicited=false. Данная проблема исправлена в версиях 2.4.7 и 2.5.2.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

Ответственный

GitHub M

Резервировать

28.05.2026

Раскрытие

17.07.2026

Модерация

принято

Вход

VDB-379924

EPSS

0.00000

KEV

Нет

Деятельности

Низкий

Источники

Want to stay up to date on a daily basis?

Enable the mail alert feature now!