CVE-2019-1258

Опубликовано: 14 авг. 2019

Источник: nvd

CVSS3: 8.8

CVSS2: 6.5

EPSS Средний

Описание

An elevation of privilege vulnerability exists in Azure Active Directory Authentication Library On-Behalf-Of flow, in the way the library caches tokens. This vulnerability allows an authenticated attacker to perform actions in context of another user. The authenticated attacker can exploit this vulneraiblity by accessing a service configured for On-Behalf-Of flow that assigns incorrect tokens. This security update addresses the vulnerability by removing fallback cache look-up for On-Behalf-Of scenarios.

Ссылки

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-1258
Patch
Vendor Advisory
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-1258
Patch
Vendor Advisory

Уязвимые конфигурации

Конфигурация 1

Одно из

cpe:2.3:a:microsoft:active_directory_authentication_library:*:*:*:*:*:.net:*:*

Версия от 5.0.5 (включая) до 5.2.0 (исключая)

cpe:2.3:a:microsoft:active_directory_authentication_library:5.0.0:preview:*:*:*:.net:*:*

cpe:2.3:a:microsoft:active_directory_authentication_library:5.0.1:preview:*:*:*:.net:*:*

cpe:2.3:a:microsoft:active_directory_authentication_library:5.0.2:preview:*:*:*:.net:*:*

cpe:2.3:a:microsoft:active_directory_authentication_library:5.0.3:preview:*:*:*:.net:*:*

cpe:2.3:a:microsoft:nuget:5.2.0:*:*:*:*:*:*:*

EPSS

Процентиль: 93%

0.11137

Средний

8.8 High

CVSS3

6.5 Medium

CVSS2

Дефекты

NVD-CWE-noinfo

Связанные уязвимости

CVE-2019-1258

msrc

около 6 лет назад

Azure Active Directory Authentication Library Elevation of Privilege Vulnerability

GHSA-xc6x-cq47-9chw

CVSS3: 8.8

github

около 6 лет назад

Vulnerability in Azure Active Directory Authentication Library

BDU:2019-03036

CVSS3: 8.8

fstec

около 6 лет назад

Уязвимость библиотеки ADAL.NET операционных систем Windows, позволяющая нарушителю повысить свои привилегии

EPSS

Процентиль: 93%

0.11137

Средний

8.8 High

CVSS3

6.5 Medium

CVSS2

Дефекты

NVD-CWE-noinfo