Katalog CVE

CVE-2026-25604

ŚrednieCVSS 5.4
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.36%

Percentyl 28 - wyżej niż 28% wszystkich znanych CVE

Streszczenie

W AWS Auth Manager pochodzenie uwierzytelniania SAML było pobierane od klienta bez weryfikacji z rzeczywistym adresem URL instancji. Umożliwiało to uzyskanie dostępu do różnych instancji o potencjalnie różnych kontrolach dostępu poprzez ponowne użycie odpowiedzi SAML z innych instancji.

Ocena ryzyka

Organizacja narażona jest na nieautoryzowany dostęp do instancji AWS z różnymi poziomami uprawnień, co może prowadzić do naruszenia poufności i integralności danych.

Rekomendacja

Należy niezwłocznie zaktualizować dostawcę AWS Auth Manager do wersji 9.22.0, która zawiera poprawkę eliminującą tę podatność.

Oryginalny opis (angielski, źródło NVD)

In AWS Auth manager, the origin of the SAML authentication has been used as provided by the client and not verified against the actual instance URL.  This allowed to gain access to different instances with potentially different access controls by reusing SAML response from other instances. You should upgrade to 9.22.0 version of provider if you use AWS Auth Manager.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS