Single Sign-On pour Vmware Tanzu toutes les versions antérieures à 1.11.3, 1.12.x versions antérieures à 1.12.4 et 1.13.1 1.13.x avant sont vulnérables à l’utilisateur l’usurpation d’identité attack.If deux utilisateurs sont connectés à l’opérateur SSO tableau de bord en même temps, avec le même nom d’utilisateur, de deux fournisseurs d’identités différentes, on peut acquérir le jeton de l’autre et donc aussi par leurs autorisations. Note: Fondation peut être vulnérable que si: 1) La zone du système est configuré pour utiliser un fournisseur d’identité SAML 2) Il y a des utilisateurs internes qui ont le même nom d’utilisateur que les utilisateurs du fournisseur SAML externe 3) Les utilisateurs en double-nom ont la portée pour accéder au tableau de bord de l’opérateur SSO 4) la vulnérabilité ne semble pas avec LDAP en raison de l’authentification enchaînée.
https://tanzu.vmware.com/security/cve-2020-5425
https://tanzu.vmware.com/security/cve-2020-5425
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-5425
