GHSA-qpxp-5j56-gg3x

Опубликовано: 31 июл. 2019

Источник: github

Github: Прошло ревью

CVSS3: 7.5

Описание

samlr XML nodes comment attack

Zendesk Samlr before 2.6.2 allows an XML nodes comment attack such as a name_id node with user@example.com followed by . and then the attacker's domain name.

Ссылки

https://nvd.nist.gov/vuln/detail/CVE-2018-20857
https://github.com/zendesk/samlr/pull/29
https://github.com/rubysec/ruby-advisory-db/blob/master/gems/samlr/CVE-2018-20857.yml
https://github.com/zendesk/samlr/compare/v2.6.1...v2.6.2

Пакеты

Наименование

samlr

rubygems

Затронутые версииВерсия исправления

< 2.6.2

2.6.2

EPSS

Процентиль: 46%

0.00237

Низкий

7.5 High

CVSS3

CVE ID

CVE-2018-20857

Дефекты

CWE-20

Связанные уязвимости

CVE-2018-20857

CVSS3: 7.5

nvd

больше 6 лет назад

Zendesk Samlr before 2.6.2 allows an XML nodes comment attack such as a name_id node with user@example.com followed by . and then the attacker's domain name.

EPSS

Процентиль: 46%

0.00237

Низкий

7.5 High

CVSS3

CVE ID

CVE-2018-20857

Дефекты

CWE-20