SimpleSAMLphp SAML2 在解析 SAML 消息时存在 XXE(CVE-2024-52806)
CVE编号
CVE-2024-52806
利用情况
暂无
补丁情况
N/A
披露时间
2024-12-03
漏洞描述
SimpleSAMLphp SAML2库是一个用于SAML2相关功能的PHP库。在加载(不受信任)的XML文档时,例如SAMLResponse,可能会引发XXE漏洞。此漏洞已在4.6.14和5.0.0-alpha.18版本中修复。
解决建议
"将组件 simplesamlphp/saml2 升级至 4.6.14 及以上版本"
"将组件 simplesamlphp/xml-common 升级至 1.20 及以上版本"
"将组件 simplesamlphp/saml2 升级至 5.0.0-alpha.18 及以上版本"
"将组件 simplesamlphp/xml-security 升级至 1.10.0 及以上版本"
"将组件 simplesamlphp/saml2-legacy 升级至 4.6.14 及以上版本"
参考链接
https://github.com/simplesamlphp/saml2/commit/5fd4ce4596656fb0c1278f15b830582...
https://github.com/simplesamlphp/saml2/security/advisories/GHSA-pxm4-r5ph-q2m2
文章评论