Vulnerabilità: CVE-2020-5226

cross-site scripting in SimpleSAMLphp prima della versione 1.18.4. Lo script www / erroreport.php permette segnalazioni di errori da presentare e inviati all’amministratore di sistema. A partire da SimpleSAMLphp 1.18.0, un nuovo SimpleSAML \ Utils \ Class Email è stato introdotto per gestire l’invio di email, implementato come un involucro di una dipendenza esterna. Questa nuova involucro ci permette di utilizzare i template Twig al fine di creare l’e-mail inviata con un rapporto di errore. Poiché Ramoscello fornisce escape automatica di variabili, manuale fuoriuscita del campo vuoto in www / errorreport.php stato rimosso per evitare il doppio escape. Tuttavia, per coloro che non sono ancora utilizzando la nuova interfaccia utente, un modello di e-mail è insita nel stessa classe in PHP pianura. Poiché scampo è fornito in questo modello, è quindi possibile iniettare HTML dentro al template lavorazione manualmente i contenuti del campo vuoto.


https://github.com/simplesamlphp/simplesamlphp/security/advisories/GHSA-mj9p-v2r8-wf8w
https://simplesamlphp.org/security/202001-01
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-5226


E' possibile lasciare un commento come utenti registrati al sito, accedendo tramite social, account wordpress oppure come utenti anonimi. Nel caso in cui si desideri lasciare un commento come utenti anonimi si verrà avvisati via email di un'eventuale risposta solo se si inserisce l'indirizzo email (facoltativo). L'inserimento di qualsiasi dato nei campi dei commenti è totalmente facoltativo. Chiunque decida di inserire un qualsiasi dato accetta il trattamento di questi ultimi per i fini inerenti al servizio ovvero la risposta al commento e le comunicazioni strettamente necessarie.


Rispondi