发布日期：2023-03-14
更新日期：2023-04-03

受影响系统：

Mendix SAML Mendix SAML >= 3.1.9
Mendix SAML Mendix SAML >= 2.2.0
Mendix SAML Mendix SAML >= 1.16.4
Mendix SAML Mendix SAML < 3.2.5
Mendix SAML Mendix SAML < 2.2.3
Mendix SAML Mendix SAML < 1.17.2

描述：

---

CVE(CAN) ID: CVE-2023-25957

SAML是Ross Kinder个人开发者的一个包含了golang中saml标准的部分实现的库，即允许第三方对您的用户进行身份验证，或允许第三者依靠我们对其用户进行身份认证。
Mendix SAML 1.16.4至1.17.2之前版本、2.2.0至2.2.3之前版本和3.1.9至3.2.5之前版本存在信息泄露漏洞，该漏洞源于程序未对SAML断言进行正确验证，未经身份认证的远程攻击者可利用该漏洞绕过身份认证并访问应用程序。

<**>

建议：

---

厂商补丁：

Mendix SAML
-----------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

https://cert-portal.siemens.com/productcert/pdf/ssa-851884.pdf

浏览次数：343
严重程度：0（网友投票）