GHSA-73jp-3c67-hjfv

Опубликовано: 26 июл. 2018

Источник: github

Github: Прошло ревью

CVSS3: 8.1

Описание

Authentication Bypass in passport-azure-ad

Affected versions of passport-azure-ad do not recognize the validateIssuer setting, which allows remote attackers to bypass authentication via a crafted token.

Recommendation

Version 1.x: Update to version 1.4.6 or later. Version 2.x: Update to version 2.0.1 or later.

Ссылки

Пакеты

Наименование

passport-azure-ad

npm

Затронутые версииВерсия исправления

>= 1.0.0, < 1.4.6

1.4.6

Наименование

passport-azure-ad

npm

Затронутые версииВерсия исправления

= 2.0.0

2.0.1

EPSS

Процентиль: 88%

0.038

Низкий

8.1 High

CVSS3

CVE ID

CVE-2016-7191

Дефекты

CWE-287

Связанные уязвимости

CVE-2016-7191

CVSS3: 8.1

nvd

больше 9 лет назад

The Microsoft Azure Active Directory Passport (aka Passport-Azure-AD) library 1.x before 1.4.6 and 2.x before 2.0.1 for Node.js does not recognize the validateIssuer setting, which allows remote attackers to bypass authentication via a crafted token.

EPSS

Процентиль: 88%

0.038

Низкий

8.1 High

CVSS3

CVE ID

CVE-2016-7191

Дефекты

CWE-287