Linux Distros 未修補的弱點:CVE-2023-45683
medium Nessus Plugin ID 260954
語言:
概要
Linux/Unix 主機上安裝的一個或多個套件存有弱點,供應商表示將不會修補。說明
Linux/Unix 主機上安裝了一個或多個受到弱點影響的套件,且廠商未提供可用的修補程式。- github.com/crewjam/saml 是 go 語言的 saml 程式庫。在受影響的版本中該套件不會根據要剖析的 SAML 系結驗證 ACS 位置 URI。若遭到濫用此瑕疵會允許攻擊者在 IdP 註冊惡意的服務提供者並在 ACS 端點定義中插入 Javascript在 SAML SSO 流程結尾處重新導向期間於 IdP 內容中造成跨網站指令碼 (XSS)。因此一旦受害者的瀏覽器為惡意服務提供者載入 SAML IdP 起始的 SSO 連結攻擊者便可能以受害者身分執行任何經驗證的動作。注意SP 註冊在 IdP 中通常是不受限制的作業因此不需要特定權限或可公開存取即可輕鬆實現 IdP 互通性。0.4.14 版已修正此問題。無法升級的使用者可以對 SAML 詮釋資料中提供的 URL 執行外部驗證或限制終端使用者上傳任意詮釋資料的能力。 (CVE-2023-45683)
請注意,Nessus 的判定取決於廠商所報告的套件是否存在。
解決方案
目前尚未有已知的解決方案。另請參閱
Plugin 詳細資訊
嚴重性: Medium
ID: 260954
檔案名稱: unpatched_CVE_2023_45683.nasl
版本: 1.1
類型: local
代理程式: unix
系列: Misc.
已發布: 2025/9/3
已更新: 2025/9/3
支援的感應器: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus
風險資訊
VPR
風險因素: Low
分數: 3.0
CVSS v2
風險因素: Low
基本分數: 3.5
時間性分數: 2.6
媒介: CVSS2#AV:N/AC:M/Au:S/C:N/I:P/A:N
CVSS 評分資料來源: CVE-2023-45683
CVSS v3
風險因素: Medium
基本分數: 6.1
時間性分數: 5.3
媒介: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N
時間媒介: CVSS:3.0/E:U/RL:O/RC:C
弱點資訊
CPE: cpe:/o:canonical:ubuntu_linux:24.04:-:lts, cpe:/o:canonical:ubuntu_linux:22.04:-:lts, p-cpe:/a:canonical:ubuntu_linux:golang-github-crewjam-saml
必要的 KB 項目: Host/local_checks_enabled, Host/cpu, global_settings/vendor_unpatched, Host/OS/identifier
可輕鬆利用: No known exploits are available
弱點發布日期: 2023/10/16
參考資訊
CVE: CVE-2023-45683