阿里云漏洞库

漏洞描述

An authentication bypass vulnerability exists in Windows Communication Foundation (WCF) and Windows Identity Foundation (WIF), allowing signing of SAML tokens with arbitrary symmetric keys, aka 'WCF/WIF SAML Token Authentication Bypass Vulnerability'.

解决建议

建议您更新当前系统或软件至最新版，完成漏洞的修复。

参考链接
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2019-1006
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-1006

受影响软件情况

1
#	类型	厂商	产品	版本	影响面
	运行在以下环境
	应用	microsoft	.net_framework	2.0	-
	运行在以下环境
	应用	microsoft	.net_framework	3.0	-
	运行在以下环境
	应用	microsoft	.net_framework	3.5	-
	运行在以下环境
	应用	microsoft	.net_framework	3.5.1	-
	运行在以下环境
	应用	microsoft	.net_framework	4.5.2	-
	运行在以下环境
	应用	microsoft	.net_framework	4.6	-
	运行在以下环境
	应用	microsoft	.net_framework	4.6.1	-
	运行在以下环境
	应用	microsoft	.net_framework	4.6.2	-
	运行在以下环境
	应用	microsoft	.net_framework	4.7	-
	运行在以下环境
	应用	microsoft	.net_framework	4.7.1	-
	运行在以下环境
	应用	microsoft	.net_framework	4.7.2	-
	运行在以下环境
	应用	microsoft	.net_framework	4.8	-
	运行在以下环境
	应用	microsoft	identitymodel	7.0.0	-
	运行在以下环境
	应用	microsoft	sharepoint_enterprise_server	2013	-
	运行在以下环境
	应用	microsoft	sharepoint_enterprise_server	2016	-
	运行在以下环境
	应用	microsoft	sharepoint_foundation	2010	-
	运行在以下环境
	应用	microsoft	sharepoint_foundation	2013	-
	运行在以下环境
	应用	microsoft	sharepoint_server	2019	-

攻击路径

网络
攻击复杂度

低
权限要求

无
影响范围

未更改
用户交互

无
可用性

无
保密性

无
完整性

高

CWE-ID	漏洞类型
CWE-295	证书验证不恰当

WCF/WIF SAML 令牌身份验证绕过漏洞

漏洞描述

解决建议

参考链接

受影响软件情况